「履歴書」という名前のファイルが添付されたメールは、ウイルスの可能性がある--情報処理推進機構は11月20日、「履歴書.zip」というファイル名が付いたコンピューターウイルスが、国内の企業にメールで送られていたことを確認したと発表した。メールに添付されたZIPファイルを解凍してWordファイルを開くと、パソコンがウイルスに感染するという。主な特徴は次のようなものだ。
(1)当該攻撃メールの件名、本文、添付ファイル名には日本語が使われていました。
(2)添付ファイル名は「履歴書.zip」となっており、このファイルを解凍して得られるWord文書ファイルを開いた場合、CVE-2013-3906が悪用され、パソコンへマルウェアを感染させられてしまう仕組みとなっていました。
(3)業務上、添付ファイルを開いて内容を確認する必要がある、組織外向けの問い合わせ窓口へのメールを装うという手口が使われていました。
(情報処理推進機構「Microsoft Office 等の脆弱性(CVE-2013-3906)を悪用する国内の組織に対する標的型攻撃を確認 ~不審メールへの警戒、緊急対策の実施を~」より 2013/11/20)
このウイルスはMicrosoft社製のWord文書の脆弱性を悪用したものだが、Word形式のファイルが使われるとは限らないため、注意が必要だという。同機構ではMicrosoft社から修正プログラムが提供されるまでの間、回避策の実施を呼びかけている。
■ なりすまし型の「標準型攻撃」メールに注意
実在する信頼できそうな組織名や個人名を送信者名に使い、特定の組織を対象にメールでウイルスを送り込むサイバー攻撃は、「標準型攻撃」と呼ばれている。
狙われるのは企業だけではなく、今年の7月には、自民党衆議院議員の平将明氏宛に、「取材のお願い」という件名の付いた記者を語ったウイルスメールが送られている。
平将明事務所は標準型攻撃について、手口が巧妙化していると警告している。
内閣官房情報セキュリティセンター(NISC)などによると、かつて標的型メールは、件名が英語だったり、添付ファイルが.exeというプログラムファイルを表す拡張子だったり、本文での日本語の使い方が誤っていたり、使われているフォントが中国語フォントだったりということで見破れたそうだが、最近は、添付ファイルの拡張子が普通の文書ファイルのものと見せかけられていたり、実在する政府関係者のメールアドレスで送られてきたり、通常のメールを装って何回かやりとりした後に標的型メールが送られてきたりと、より巧妙化しているとのことである。
(平将明衆議院議員公式サイト「平将明議員が"標的型メール"に狙われる。」より 2013/7/26 14:37)
情報処理推進機構は、添付ファイルや本文中のURLリンクを開かせるため、標的型攻撃メールの件名・本文は、次のような内容のものが多いという。
・社内の連絡メールを装うもの(ファイルサーバのリンクを模すケースを含む)
・関係省庁や、政府機関からの情報展開を模すもの(連絡先、体制、会見発表内容など)
・メディアリリース
・合併や買収情報
・ビジネスレポート/在庫レポート/財務諸表
・契約関連
・技術革新情報
・国際取引
・攻撃者に関する情報
・自然災害
・ウェブなど公開情報を引用したもの
・政府/業界イベント
・政府または産業における作業停止
・国際的または政治的なイベント
(IPA 独立行政法人 情報処理推進機構「標的型サイバー攻撃の特別相談窓口」より 2013/06/01)
情報処理推進機構は、標的型攻撃メールが届いた場合の対策として、電話番号案内(104)やウェブから、メール送信者の連絡先を調べ、そのメールを送ったか直接確認するなどの方法を紹介している。
関連記事