ここ数日、日本語の本文とともにバックドアなどをしかけるための悪意のある添付ファイル(トロイの木馬)が日本のメールアドレスに広く送付されているようである。
この件については当初京大の上原先生の「標的型攻撃?(Tetsu=TaLowの雑記, 4/9)」というエントリーで見て知ったのだが、その後、龍谷大の小島先生のところでも同様の攻撃が確認され、「今日のウイルスメール (2008.04.14) (龍谷大, 4/14)」というエントリーでメールの本文がヘッダの一部とともに公開された。
メールの本文の内容及び送信者、受信者の間に密接な関係がなく、受信者が当該メールを受信する必然性がないと思われることから、トロイの木馬が偽装メッセージとともに大量送信される海外ではよく見られるたぐいの攻撃であると考えられた。
その後シマンテック社のブログ(英文)に「Email Spoofed from Japanese Government Agency Targets Japanese Companies(Symantec, 4/14)」という記事が掲載され同様の攻撃が複数の組織から報告されていることが確認された。添付された実行ファイルは、マシンにキーロガーとバックドアを設置するものだったようだ。
一連のインシデントについてはITmediaと日経IT Proが報じているが、ITmediaがSymantecのブログエントリーに基づき事実を淡々と解説するに留めているのに対し、日経IT Proの方はこの攻撃について「日本の企業を狙った『スピアー攻撃(標的型攻撃)』とみられる。」といささか過激な表現を用いている。
ニュースソースと思われる symantec社のブログによれば「possible targeted spam attack against several Japanese companies.」と表現されており、これを日経IT Proでは「日本の企業を狙った『スピアー攻撃(標的型攻撃)』とみられる。」と訳したと思われる。
最初に述べているようにこの攻撃は大学に対しても送付されていることから、比較的広い範囲に対して送付されていると思われ、この攻撃を標的型攻撃と決めつけるのは時期尚早と思われる。symantec社も「possible targeted spam attack」と微妙な表現を用いている。
今回のように多くのメールアドレスに対してそれ自体は感染拡大能力を持たないトロイの木馬を送付する攻撃は古くから行われており古典的な攻撃である。この場合同じトロイの木馬は基本的に何度も使用しないため、ウイルス対策ソフトウェアの定義ファイルにマッチせず検知することが困難になる。
攻撃対象を限定せず広範囲にトロイの木馬が送付されているとすれば英語でいう 「massive Trojan attack(大規模トロイ攻撃)」が適切な表現であり、「spam Trojan attack(スパム型トロイの木馬攻撃)」などと呼ばれることもある。特定組織を対象として巧妙にバックドアなどを組織内送り込む標的型トロイの木馬攻撃(Targeted Trojan Attack)とは、大きく性質の異なるものである。
最近は標的型攻撃という呼び方が定着してきていて、「スピアー攻撃」などと出所の定かではない少々恥ずかしい呼び方をする人はかなり減ってきているが、日経IT Proがいつまでも「スピアー攻撃」という表現を使用しているために混乱が治まらないでいる。
結果として、政府関連の報告書の中にも「標的型攻撃(スピアー攻撃とも呼ばれる)」などと毎回書かなければならないし、日経IT Pro自身も記事の中で「スピアー攻撃(標的型攻撃)」などと両方の表現を併記しており余計な文字数によって日本のネットワーク帯域を圧迫する原因となっている。
しかし今回のようなものは現段階では「標的型攻撃」とはいいがたく、このような報道は混乱と誤解を招きかねず、注意が必要だ。
以下、日経IT Proではスピアー攻撃と十把一絡げにされているが、海外では区別されていて対策を取る場合にも区別が必要な攻撃手法をあげてみる。(他にもあるかもしれない・・・。)
【Targeted Attack = 標的型攻撃】
特定組織・人を対象とした攻撃
【Targeted Trojan Attack = 標的型トロイの木馬攻撃】
特定組織・人を対象としトロイの木馬を使用した攻撃
【Spear Phishing Attack = スピア・フィッシング攻撃】
特定組織・人を対象としフィッシングを使用した攻撃
【massive Trojan Attack/spam Trojan Attack = 大規模トロイの木馬攻撃/スパム型トロイの木馬攻撃】
トロイの木馬を大量のメールアドレスに送信する攻撃
今回のケースについては受信範囲を精査し、それらの間に何らかの共通性が見られれば、明確な意図を持った本当の標的型攻撃であるという可能性がないわけではない。またsymantec社が「possible targeted spam attack」と表現しているように、ある程度攻撃範囲を限定した形での「標的型スパム型トロイの木馬攻撃」の可能性が高い。今後一般家庭のユーザなどに対しても同様のメールが届くようであれば単なる「スパム型トロイの木馬攻撃」ということになるだろう。
いずれにせよ今の段階で標的型攻撃と断言するのは時期尚早であるし、スピアー型などという曖昧模糊とした表現の使用は今後も含め避けるべきだろう。
【参考情報】
■標的型攻撃?(Tetsu=TaLowの雑記, 4/9)
http://d.hatena.ne.jp/tetsutalow/20080409#p2
■またきたよ(Tetsu=TaLowの雑記, 4/11)
http://d.hatena.ne.jp/tetsutalow/20080411#p1
■今日のウイルスメール (2008.04.14) (龍谷大, 2008.04.14)
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/04.html#20080414_virus
■龍谷にもきたらしいよ(Tetsu=TaLowの雑記, 4/14)
http://d.hatena.ne.jp/tetsutalow/20080414#p1
■Email Spoofed from Japanese Government Agency Targets Japanese Companies(Symantec, 4/14) http://www.symantec.com/enterprise/security_response/weblog/2008/04/email_spoofed_from_japanese_go.html
■日本政府をかたる偽メール、日本企業がターゲット(ITmedia, 4/15)
http://www.itmedia.co.jp/news/articles/0804/15/news019.html
■日本企業を狙った「スピアー攻撃」、日本政府からのメールを装う(日経IT Pro, 4/15)
http://itpro.nikkeibp.co.jp/article/NEWS/20080415/299063/
最近のコメント