ページの本文へ

Hitachi Logo
earth icon
    mail icon お問い合わせ
    Hitachi Global
    Hitachi Global

    HIRT-PUB09002:ウイルス添付メールの今と昔

    -仮想体験デモ(1)-

    更新日:2009年3月23日

    標的型攻撃という用語が広がり始めたのは2005年頃で、おそらくUS-CERTが発行した「TA05-189A: Targeted Trojan Email Attacks」という注意喚起がきっかけだったと思います。2007年以降、国内でも標的型攻撃に関する調査報告がではじめたことにより、身近な用語となってきました。

     

    標的型攻撃について (第2版) (2008-09-17)

    http://www.jpcert.or.jp/research/2007/targeted_attack.pdf (PDFファイル)

    〔JPCERTコーディネーションセンターのサイトへ〕

    近年の標的型攻撃に関する調査研究-調査報告書- (2008-03-18)

    http://www.ipa.go.jp/security/fy19/reports/sequential/index.html 〔IPAのサイトへ〕

     

    ただ、用語を知っていても、あまり実感がわかないのも事実です。 そこで、HIRT-PUB09002では、「ウイルス添付メールの今と昔」と題し、ウイルス添付メールの受信者の視点から、標的型攻撃を紹介したいと思います。

    比較してみよう

    「ウイルス添付メールの今」として、2008年に確認されたTROJ_PIDIEF.DUを取り上げます。また、「ウイルス添付メールの昔」として、2000年に流布したVBS/Loveletterウイルスと2004年に流布したW32 /Netskyウイルスを取り上げます。

     

    TROJ_PIDIEF.DU 【2008年6月】

    コンピュータセキュリティシンポジウム2008(CSS2008)のCFP(Call For Paper:論文募集)を装ったメールに、TROJ_PIDIEF.DUが仕掛けられたPDFファイルが添付され、関係者に対して送信されました。

     

    VBS/Loveletter(ラブレター)【2000年5月】

    電子メールの件名(ILOVEYOU.)と内容(kindly check the attached LOVELETTER coming from me.)は、思わず添付ファイルを開きたくなるような興味を引く内容となっています。また、添付ファイルは、拡張子vbs(Visual Basicのスクリプトファイル)の前にtxtが付加された二重拡張子となっています。

     

    W32/Netsky(ネットスカイ)【2004年2月~】

    W32/BagleとW/32Netskyは、互いに開発を競い、亜種出現量は多いときで双方合わせて約30種件/月(2004年3月)でした。主にpif(MS-DOS アプリケーションへのショートカット)という拡張子の付いたファイルが添付されていました。

     

    では、これら3つのウイルスをメール受信画面、感染後の活動で比較してみましょう(表1)。

    表1:ウイルス添付メールの今と昔の比較

     ウイルス添付メールの今
    いわゆる標的型攻撃    		ウイルス添付メールの昔
    いわゆる無差別攻撃
    該当 ウイルスTROJ_PIDIEF.DU (2008年)VBS/Loveletterウイルス (2000年)
    W32/Netskyウイルス (2004年)
    メール 受信画面メール受信画面-1

    画像を拡大する
    (新規ウインドウを表示)

    		メール受信画面-3

    画像を拡大する
    (新規ウインドウを表示)

    メール受信画面-2

    画像を拡大する
    (新規ウインドウを表示)

    感染後の 活動攻撃者が用意したサーバから有害なプログラム等をダウンロードしたり、情報をアップロードする。自分自身の分身を多数作成するために、ウイルス添付メールを大量に送信する。

    標的型攻撃は、特定の組織あるいはグループを攻撃対象とした活動と解説されています。これをウイルス添付メールにあてはめてみると、、「いかにも怪しい、不審なメール」ではなく、「怪しさを感じさせない普通のメール」となるよう、攻撃対象となる組織あるいはグループにあわせた工夫をすることになります。

    page top

    仮想体験デモ

    特定の組織や分野を狙った標的型攻撃の一例として、対応経過と検体解析結果と共に、着信したウイルスメールの仮想体験デモを提供しています。

     

    CSS2008のCFPを騙ったウイルスメール受信の仮想体験デモ
    HIRT-PUB09002:ウイルス添付メールの今と昔 (インシデント対応記録のアーカイブ)

     

    仮想体験デモは、Flash ファイルのムービーをアニメーション GIF ファイルに変換したものを提供しています。

     

    実際に「CSS2008のCFPを騙ったウイルスメール受信の仮想体験デモ」を見てみる

    対策

    標的型攻撃の対策についても、実態把握に合わせて整備されつつあります。多くの調査報告が、「不審なメール」という用語を使って注意喚起を促していますが、実際に標的型攻撃で利用されるメールは、コンピュータセキュリティシンポジウム2008(CSS2008)のCFPを装ったメールを見る限り、怪しさを感じさせない普通のメールです。まずは、怪しさを感じさせない普通のメールが攻撃に利用されているという認識が対策のための第一歩として重要なのかもしれません。

     

    標的型攻撃対策手法に関する調査報告書 (2008-08-07)
    http://www.jpcert.or.jp/research/2008/inoculation_200808.pdf (PDFファイル)
    (JPCERTコーディネーションセンターのサイトへ)

    ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策 (2009-02-06)
    http://www.ipa.go.jp/security/vuln/report/newthreat200902.html(IPAのサイトへ)

    不審メール110番 (2008-09-29)*1
    http://www.ipa.go.jp/security/virus/fushin110.html(IPAのサイトへ)

     

    *1
    不審なメールとは、実在の企業名や官公庁名をかたって、特定の組織に添付ファイル付きのメールを送り、その添付ファイルを開くとその組織の情報を盗むウイルスなどに感染させられるメールと定義している。

    関連情報

    [1] CSS2008のCFPを騙ったウイルスメールに関する情報
    HIRT-PUB09002:ウイルス添付メールの今と昔 (インシデント対応記録のアーカイブ)

    更新履歴

    2020年10月23日

    • 仮想体験デモ:Flash ファイルのムービーをアニメーション GIF ファイルに変換したものに変更しました。

    2009年3月23日

    • このページを新規作成および公開しました。

    寺田/HIRT