アットマーク・アイティ @IT@IT情報マネジメント@IT自分戦略研究所QA@ITイベントカレンダー  
 
 @IT > メールの内容を無条件に信用できなくなった メールによる誘導攻撃には広い視点の対策が必要
 
@IT Special

 

PR

セキュリティ研究 レポート No.006


  前回に続いて、メールを使ってユーザーをだまし、PCを操作させ、マルウェアに感染させる手法を取り上げます。

 このテーマでは、セキュリティ担当者自身が問題を理解するだけではなく、そのほかの社員に対する啓蒙を行なう必要があるため、具体的な詳細に触れながら実際にあった攻撃を紹介します。

■罠を仕掛けたサイトへのリンクを仕込む

 メール本文に、IDやパスワードを詐取するための仕掛けを施したWebサイト、マルウェアをホスティングしたWebサイトへのリンクを仕込む手法もあります。

 個人情報やオンライン上でのアイデンティティ詐称のための情報に関係するあらゆるものがターゲットにされます。IDやパスワードの入力まで行わせるものは、詐取するための偽装のレベルが高くなります。

 メール内のリンクに対しては、受信者がURL表記におけるドメイン名によって安全性を判断するようになってきています。これに対し、攻撃者はHTML形式のメールの本文全体を画像データ化し、その画像データに偽装サイトへのリンクを潜ませます。

 また、ある銀行のWebサイトでは、正規のWebサイトの中に個人情報や口座情報を詐取するための偽装サイトが構築されていました。そのようなケースでは、リンク情報だけで仕掛けられた罠を見抜くのは非常に困難といえるでしょう。

 マルウェアをホスティングしたWebサイトへのリンクを送付するケースでは、9月に大手OSベンダからユーザーへの通達を模したメール攻撃の例があります(2007年9月21日付けシマンテックセキュリティレスポンスウェブログ「Patch bulletin email?」より)。

 この例では、存在しない文書IDとOSパッチの適用を促す偽造されたSecurity Bulletinが送りつけられました。メール本文、または添付ファイルには、マルウェア作者が作成したインストールプログラムに対するリンクが含まれています。手が込んでいるのは、このインストールプログラムには、マルウェアだけではなく、ベンダが公開しているデジタル署名付きの正規のOSパッチが含まれていることです。

 「外部サイトへのリンク」というとWebブラウザを用いたアクセスを連想しがちですが、そこが盲点になります。攻撃者は、リンクはHTMLのコード内に潜ませ、脆弱性のエクスプロイトとの合わせ技によって、メールのプレビュー時にリンク先からマルウェアを自動的にダウンロードさせることもできます。

■標的特定型の攻撃の手段としての悪用

 メールは相手を特定して送信するものであるため、スピア型(標的特定型)の攻撃の手段としてメールが悪用されることもあります。メールを悪用したスピア型の攻撃は、そこで用いられる特定の技術によって分類されるものではなく、「標的を特定することにより、偽造したメールをよりもっともらしく見せる内容にする/仕掛けを作る」という点で分類されます。

 メールを悪用したスピア型の攻撃に関する最近の例では、日本の新首相を騙ったメールによるものがありました。外交というテーマを掲げた内容、事務所の住所や電話番号の記載、関係者が使う用語を冠した添付ファイルなどによって偽装されたこのメールは、バックドア型のトロイの木馬プログラムを攻撃対象に仕込むためのものでした(2007年9月25日付けシマンテックセキュリティレスポンスウェブログ「New Prime Minister, New Trojan」より)。

 スピア型の攻撃は不特定多数を同時に狙うわけではないため、ホームユーザーの視点では効率がよくないもののように見えます。しかし、IT管理者は、企業や組織にとっては大きな脅威であるということを忘れてはなりません。

 標的型の攻撃ではさらに攻撃の流れやマルウェアのコードがカスタマイズされていることがしばしばあります。そのため、セキュリティベンダにマルウェアの検体が集まらず、シグネチャの更新が亜種や新種の増加に追いつかないという状況が発生しやすくなっています。従って、メールを利用した攻撃のステルス化という問題で、最も厄介なケースといえなくもありません。

■さまざまな視点、広い視野が必要な対策

 2回にわたって紹介したように、メールを利用した攻撃というものは、メールというビークル(乗り物)に、さまざまな攻撃手法を相乗りさせたようなものになります。ステルス化のテクニックは、個々の手法、相乗りのさせ方の双方に用いられます。

 従って、さまざまな視点と広い視野をもって複数の対策を組み合わせて行なっていく必要があります。個々の対策の具体的な内容は、本件における固有のものではありません。本件において最も重要なのは、攻撃の流れを想定し、「それぞれのフェーズに応じた対策を、流れの順番に合わせて配置する」ことです。

 例えば、次のようなものです。

  1. 受信者に届く前に、不要なメールを可能な限り排除し、受信するメールをクリーンに保つ
  2. (教育を行なったうえで)個々の受信者に、リスクを十分に判断してもらったうえで慎重にメールの操作を行なわせる
  3. 上記でブロックすることができない場合も十分に想定した対策も行なっておく。つまり、攻撃者が意図したマルウェア感染のシークエンスに乗りかかってしまっても、可能な限り早期のフェーズでセキュリティ侵害を食い止められるようにする

 具体的に、1はゲートウェイやメールサーバ上において、メールに対するマルウェアのスキャン、スパムのフィルタリングを行うことになります。2は、平素からリテラシーの向上に努めることが重要なのはいうまでもありませんが、判断が難しい場合のポリシーを社内で明確化しておくことも望ましいです。

 3に関しては、さまざまなものが考えられます。まず、メール内に仕込まれたリンクを通じたマルウェアのダウンロードをブロックするための方法として、ゲートウェイでHTTP/FTPのトラフィックに対するスキャンを行なうという方法。次に、PC上のデスクトップファイアウォールやIPS(侵入防御システム)によって通信の制御や監視を行うという方法です。

 また、OSやアプリケーションに対するパッチのダウンロードについては、社内のヘルプデスクから送られてきたメール内のリンクでなければクリックしない、もしくは当該ベンダのサイトに直接アクセスしてダウンロードするというルールを規定し、そのルールを社員に順守させることも必要です。

 また、本レポートで紹介したようなスピア型の攻撃を考慮すると、マルウェア感染を避けられない場合を想定する必要があります。アプリケーションの挙動分析、亜種や未知のマルウェアに対応したウイルススキャンやHIPS、マルウェアによる不正な通信や外部からのリモート操作をブロックできるデスクトップファイアウォールの搭載などを検討した方が賢明といえます。

本レポートは、シマンテック発行のホワイトペーパー「今日の手強いセキュリティ脅威への対処」の内容に基づいて作成されています。

参考文献(シマンテック セキュリティレスポンスウェブログ)

1. Patch bulletin email?
2. New Prime Minister, New Trojan

習得! セキュリティ研究所 トップページへ戻る


提供:株式会社シマンテック
企画:アイティメディア 営業局
制作:@IT編集部
掲載内容有効期限:2007年12月25日
 


シマンテック インターネットセキュリティ 脅威レポート(2007年1月〜6月の傾向)

直近6カ月間のインターネットセキュリティ脅威活動についてのレポート。
ネットワークベースの攻撃についての分析、既知の脆弱性の検証、マリシャスコードの特徴などを解説し、フィッシングやスパム活動の傾向について分析しています。

TechTargetダウンロードセンターよりダウンロードできます。




シマンテック セキュリティレスポンス
インターネットセキュリティ脅威レポート
セキュリティレスポンスウェブログ(英語)




管理者のためのウイルス対策の基礎(全6回)
電子メールセキュリティの基礎知識(連載中)
企業がすべきフィッシング詐欺対策(全3回)
いまさらフィッシング詐欺にだまされないために
急速に広がるスパイウェアの脅威



 
@ITトップ@IT Special インデックス会議室利用規約プライバシーポリシーサイトマップ