前回紹介した脆弱性を狙った攻撃手法の中には、攻撃対象のユーザーが「特定のWebサイトにアクセスする」という操作を攻撃プロセスの中に組み込んだものがありました。このケースでは、いかにしてWebアクセスを行わせるかが攻撃者にとっての重要な課題になります。

　攻撃者がユーザーによる操作を利用するアプローチを組み込んだもののなかには、非常に身近なものとしてメールを利用するケースがあります。今回は、マルウェアの感染にメールが悪用されるケースについて、最近の傾向を含めてご紹介します。

■メールを使った攻撃手法を知るための重要なポイント

　メールが利用されるケースでは、メールの受信者という存在が対策上の脆弱なポイントになりやすい点に留意しなくてはなりません。IT管理者以外の社員は、IT管理者であればやすやすと見抜けそうな罠に簡単に落ちてしまう可能性が多分にあります。

　攻撃者は、見知らぬ送信者からのメールを受信者に、

• いかに開封させるか
• いかにリンクをクリックさせるか
• いかに添付ファイルを開かせるか

という点に工夫を施します。このような攻撃者の工夫に対処するためには、社員のリテラシーの向上に努める必要があります。

　しかしながら、「見知らぬ送信者」であっても「関係者」のように見える送信者からのメールに関しては、セキュリティ意識が高い人間でも状況的な判断が困難である場合もあります。そのような場合には、やはりセキュリティ製品に頼りたいところです。ただし、そもそも検出を逃れるためのテクニックであるため、ポイントを的確に押さえた対策が必要になります。

　今回のテーマに関しては、セキュリティ担当者自身が問題を理解するだけではなく、そのほかの社員に対する啓蒙を行なう必要があります。そこで連載を2回に分け、実例については具体的な詳細も紹介します。

■メールを利用した攻撃手法に変化

　シマンテックの「インターネットセキュリティ脅威レポート」の最新版（2007年発行第XII号）は、2007年の上半期の半年間では46％のマルウェアがメールに対する添付ファイルによって感染したということを報じています。

　この数字は依然として感染方法の中では最も大きいものですが、2期連続で減少しているのも事実です。その背景としては、マルウェア作者が感染方法を変えてきているということが分析されています。

　しかし、メールとマルウェア感染の関係は、添付ファイルを経由したものにはとどまらないことを見落としてはなりません。

　マルウェアのコードをメールによって直接送り込む手法は、ゲートウェアにおけるSMTPトラフィックのスキャンやメールサーバ上でスキャンが普及することにより、機能しづらくなりつつあります。

　現在では、脆弱性を利用することによりマルウェアをローカルに直接投下したり、マルウェアをメール受信者に後からダウンロードさせたりするアプローチなどを採用することにより、攻撃者と攻撃対象の間に存在するさまざまなセキュリティ防衛網をかいくぐろうとするものが増えています。

　対策は、メールによってマルウェアが送り込まれてくるケース、メールによってマルウェア感染への入り口が送り込まれてくるケースの双方を想定する必要があります。

■圧縮ファイルにパスワードを設定して添付

　まずは、スキャンを回避してマルウェアを送り込む手法です。以前にも紹介したTrojan.Peacommの亜種などは、添付する圧縮ファイルにパスワードを設定してウイルススキャンを回避させ、メールの受信者に解凍させることによってその解凍時に感染させます（2007年4月12日付けシマンテックセキュリティレスポンスウェブログ「Spam Attack: Zipped Trojan」より）。

　圧縮形式のファイルに対してのウイルススキャンは解凍を行なってから実行されるため、パスワードを設定することにより、受信者に届くまではスキャンされないようにするわけです。

　このケースでは、メールの件名（サブジェクト）に注意を呼びかけるような言葉が記述されていました。スパイウェアやトロイの木馬プログラムに関する注意や実際に検出したという警告です。

　そして、パスワードはメール本文に記載されており、それを使って受信者に解凍させるようになっていました。しかし、少しでもセキュリティに対して意識的なユーザーであれば、添付ファイルに対するパスワードがメール本文に記載されているという状況を不審に思ってもおかしくありません。

　しかし、メールの本文ももっともらしく偽装されています。例えば、以下のようなものです。

　このような内容のメールが「カスタマーサポートセンターのロボットから自動配信」されたのです。「セキュリティを高める、問題を解消する」という言葉に惑わされた受信者がうっかりと添付ファイルを解凍・実行してマルウェアに感染してしまっても、何ら不思議ではありません。

■アプリケーションの脆弱性を攻撃するファイルを添付

　マルウェアをローカルに直接投下する方法として、Wordなどのアプリケーションの脆弱性に対するエクスプロイトのコードを、アプリケーションに固有の形式のファイル内に潜ませて添付する方法があります。これは、受信者が添付ファイルを開いた時点で初めてマルウェアが投下されるため、ゲートウェイやメールサーバにおけるスキャンによる検出を逃れる確率が高くなります。

　このようなケースでは、見知らぬ送信者によるメールを開封させる手口として、顧客が商品の不備や不具合についてメーカーに報告するメールを模すといった偽装が施された例があります。

　まず、件名がそのような本文を連想させるタイトルになっており、受信者の気を引きます。クレーム対応はどの企業にとっても最重要課題の1つであるため、受信者が内容を確認したいと考えるのは当然のことといえるでしょう。攻撃者にとっては実に都合のいい題材です。

　本文には報告内容の概要が記述されており、さらに、実物を撮影した写真などの詳細について添付レポートの参照を促します。最終的に、受信者が添付ファイルを開いた時点で、脆弱性のエクスプロイトによりマルウェアが投下され、感染が起こります。

　受信者に添付ファイルを開く気にさせるためのテクニックには、ファイル形式の偽装などの小技もあります。いまや、セキュリティに対して多少なりとも意識的なユーザーは、アイコンや拡張子によってファイルの属性を認識し、それを添付ファイルの安全性の判断の目安にしています。攻撃者はそれを逆手に取るのです。

　例えば、実行形式のファイル以外に対しては警戒心が弱まるといった心理を突きます。つまり、偽のアイコンデータや2重の拡張子によってファイルの属性を偽装し、受信者の目を欺くわけです。

　次回は、メールを使って罠を仕掛けたWebサイトへ誘導する方法やスピア型（標的特定型）の攻撃を取り上げます。

【習得！ セキュリティ研究所 トップページへ戻る】