このテーマでは、セキュリティ担当者自身が問題を理解するだけではなく、そのほかの社員に対する啓蒙を行なう必要があるため、具体的な詳細に触れながら実際にあった攻撃を紹介します。

■罠を仕掛けたサイトへのリンクを仕込む

　メール本文に、IDやパスワードを詐取するための仕掛けを施したWebサイト、マルウェアをホスティングしたWebサイトへのリンクを仕込む手法もあります。

　個人情報やオンライン上でのアイデンティティ詐称のための情報に関係するあらゆるものがターゲットにされます。IDやパスワードの入力まで行わせるものは、詐取するための偽装のレベルが高くなります。

　メール内のリンクに対しては、受信者がURL表記におけるドメイン名によって安全性を判断するようになってきています。これに対し、攻撃者はHTML形式のメールの本文全体を画像データ化し、その画像データに偽装サイトへのリンクを潜ませます。

　また、ある銀行のWebサイトでは、正規のWebサイトの中に個人情報や口座情報を詐取するための偽装サイトが構築されていました。そのようなケースでは、リンク情報だけで仕掛けられた罠を見抜くのは非常に困難といえるでしょう。

　マルウェアをホスティングしたWebサイトへのリンクを送付するケースでは、9月に大手OSベンダからユーザーへの通達を模したメール攻撃の例があります（2007年9月21日付けシマンテックセキュリティレスポンスウェブログ「Patch bulletin email?」より）。

　この例では、存在しない文書IDとOSパッチの適用を促す偽造されたSecurity Bulletinが送りつけられました。メール本文、または添付ファイルには、マルウェア作者が作成したインストールプログラムに対するリンクが含まれています。手が込んでいるのは、このインストールプログラムには、マルウェアだけではなく、ベンダが公開しているデジタル署名付きの正規のOSパッチが含まれていることです。

　「外部サイトへのリンク」というとWebブラウザを用いたアクセスを連想しがちですが、そこが盲点になります。攻撃者は、リンクはHTMLのコード内に潜ませ、脆弱性のエクスプロイトとの合わせ技によって、メールのプレビュー時にリンク先からマルウェアを自動的にダウンロードさせることもできます。

■標的特定型の攻撃の手段としての悪用

　メールは相手を特定して送信するものであるため、スピア型（標的特定型）の攻撃の手段としてメールが悪用されることもあります。メールを悪用したスピア型の攻撃は、そこで用いられる特定の技術によって分類されるものではなく、「標的を特定することにより、偽造したメールをよりもっともらしく見せる内容にする／仕掛けを作る」という点で分類されます。

　メールを悪用したスピア型の攻撃に関する最近の例では、日本の新首相を騙ったメールによるものがありました。外交というテーマを掲げた内容、事務所の住所や電話番号の記載、関係者が使う用語を冠した添付ファイルなどによって偽装されたこのメールは、バックドア型のトロイの木馬プログラムを攻撃対象に仕込むためのものでした（2007年9月25日付けシマンテックセキュリティレスポンスウェブログ「New Prime Minister, New Trojan」より）。

　スピア型の攻撃は不特定多数を同時に狙うわけではないため、ホームユーザーの視点では効率がよくないもののように見えます。しかし、IT管理者は、企業や組織にとっては大きな脅威であるということを忘れてはなりません。

　標的型の攻撃ではさらに攻撃の流れやマルウェアのコードがカスタマイズされていることがしばしばあります。そのため、セキュリティベンダにマルウェアの検体が集まらず、シグネチャの更新が亜種や新種の増加に追いつかないという状況が発生しやすくなっています。従って、メールを利用した攻撃のステルス化という問題で、最も厄介なケースといえなくもありません。

■さまざまな視点、広い視野が必要な対策

　2回にわたって紹介したように、メールを利用した攻撃というものは、メールというビークル（乗り物）に、さまざまな攻撃手法を相乗りさせたようなものになります。ステルス化のテクニックは、個々の手法、相乗りのさせ方の双方に用いられます。

　従って、さまざまな視点と広い視野をもって複数の対策を組み合わせて行なっていく必要があります。個々の対策の具体的な内容は、本件における固有のものではありません。本件において最も重要なのは、攻撃の流れを想定し、「それぞれのフェーズに応じた対策を、流れの順番に合わせて配置する」ことです。

　例えば、次のようなものです。

1. 受信者に届く前に、不要なメールを可能な限り排除し、受信するメールをクリーンに保つ
2. （教育を行なったうえで）個々の受信者に、リスクを十分に判断してもらったうえで慎重にメールの操作を行なわせる
3. 上記でブロックすることができない場合も十分に想定した対策も行なっておく。つまり、攻撃者が意図したマルウェア感染のシークエンスに乗りかかってしまっても、可能な限り早期のフェーズでセキュリティ侵害を食い止められるようにする

　具体的に、1はゲートウェイやメールサーバ上において、メールに対するマルウェアのスキャン、スパムのフィルタリングを行うことになります。2は、平素からリテラシーの向上に努めることが重要なのはいうまでもありませんが、判断が難しい場合のポリシーを社内で明確化しておくことも望ましいです。

　3に関しては、さまざまなものが考えられます。まず、メール内に仕込まれたリンクを通じたマルウェアのダウンロードをブロックするための方法として、ゲートウェイでHTTP／FTPのトラフィックに対するスキャンを行なうという方法。次に、PC上のデスクトップファイアウォールやIPS（侵入防御システム）によって通信の制御や監視を行うという方法です。

　また、OSやアプリケーションに対するパッチのダウンロードについては、社内のヘルプデスクから送られてきたメール内のリンクでなければクリックしない、もしくは当該ベンダのサイトに直接アクセスしてダウンロードするというルールを規定し、そのルールを社員に順守させることも必要です。

　また、本レポートで紹介したようなスピア型の攻撃を考慮すると、マルウェア感染を避けられない場合を想定する必要があります。アプリケーションの挙動分析、亜種や未知のマルウェアに対応したウイルススキャンやHIPS、マルウェアによる不正な通信や外部からのリモート操作をブロックできるデスクトップファイアウォールの搭載などを検討した方が賢明といえます。

【習得！ セキュリティ研究所 トップページへ戻る】