セキュリティ専門家が時事ネタを語る本連載。第41回は、2016年10月ごろに出回ったICT-ISACを騙るメールを取り上げます。
セキュリティ専門家が時事ネタなどを語る連載「セキュリティのアレ」。第41回のテーマは「ICT-ISACを騙ったメール」です。解説するのは前回に引き続き、根岸征史氏と辻伸弘氏。本連載に関するご意見、ご感想はTwitterハッシュタグ「#セキュリティのアレ」までお送りください。
宮田 セキュリティのアレ、第41回は、2016年10月下旬に出回ったICT-ISACを騙(かた)る偽メールを取り上げます。件名などに“総務省”の名前も使いながら、ランサムウェアに感染させようとするものでしたが、どこにポイントがあったのでしょうか?
辻氏 幾つかありますが、1つは添付ファイルの形式です。「.js」形式のファイルなどを添付してランサムウェアをばらまくメールは珍しくありませんが、今回は、それ自体は無害な2つのPDFファイルが添付されていました。
PDFの内容は、“マルウェア駆除プロジェクト”に関する説明と、そのためのツールの“インストールマニュアル”です。このマニュアル中のリンクがランサムウェアのダウンロードにつながるものでした。
根岸氏 PDFの中に「ACTIVE」という総務省の官民連携マルウェア対策プロジェクトに関する記述があったのも注目すべき点です。これは実際に存在するプロジェクトで、メディアで取り上げられたこともあるので、知っているユーザーもいたはずです。
今回はICT-ISAC(Information Sharing and Analysis Center)を騙るものでしたが、金融ISACなど、各業界のISACでは実際にこういう注意喚起を行っています。本物との違いがあるとすれば、通常はプロバイダー経由でユーザーに連絡が行われ、ISACから直接連絡をすることはないということでしょうか。とはいえ、実際にあるプロジェクト、しかもマルウェア駆除を目的としたプロジェクトの名前を悪用してマルウェアに感染させようとするのは、非常に手の込んだ攻撃だと感じました。
ユーザーに不信感を抱かせないための“工夫”が幾重にもなされていた今回のメール事件。一般のユーザーが防ぐ手だてはあったのでしょうか? 本編では、ユーザー視点での注意点や、攻撃者の狙い、“騙られた側”の注意喚起の在り方などについて議論していきます。ぜひご覧ください。
Copyright © ITmedia, Inc. All Rights Reserved.