11/10/29 07:01:19.99
完全防御、ほぼ不可能な「標的型メール」
衆議院のサーバーと国会議員のパソコンがウイルス感染し、情報が流出した可能性が高まっている。
メールの添付ファイルを開いたことが原因のようだ。(ITジャーナリスト・三上洋)
サーバーとパソコン1台が感染 メール添付ファイルが原因
衆議院で使われている公務用パソコンとサーバーがコンピューターウイルスに感染した。原因は衆議院
議員に貸与されているパソコンで、メールの添付ファイルを開いてしまったため。以前の記事「三菱重工
サイバー攻撃と標的型メール」で詳しく取り上げた「標的型メール」にだまされてしまった可能性が高い。
最初に被害に遭ったのは、衆議院議員の公務用パソコンで、7月ごろにメールを開いてしまい、トロイの
木馬に忍び込まれてしまったようだ。トロイの木馬とは、コンピューターに入り込んで遠隔操作・ウイルス
感染・踏み台悪用などを行う不正なプログラムのこと。この議員のパソコンがトロイの木馬にやられたこと
から、衆院立法情報ネットワークシステムのサーバー1台も被害に遭った模様だ。他の2人の議員のパソ
コンにも標的型メールが送られているが、現時点で被害が確認されているのは、パソコン1台とサーバー
1台だけとなっている。
衆議院事務局によれば被害状況はまだ調査中とのことで、具体的な被害は判明していない。ただし、
トロイの木馬に忍び込まれ、長期間潜伏状態にあったことから、情報流出がゼロとは考えにくい。報道
のように「議員のパソコンが感染→サーバーも感染」というルートであれば、議員のパソコンは外部から
遠隔操作されたと考えたほうが自然だ。その場合、最初に被害に遭った議員のパソコンにあるファイルは、
外部に漏れたと考えたほうがいいだろう。
犯人は判明していないが、報道によれば中国のサーバーを経由していたとのこと。以前の記事「企業
狙いのサイバー攻撃『心理攻撃とゼロデイ』」でも取り上げたように、この手の標的型メールでは中国の
サーバーを経由している場合が多い。攻撃の足場として使われるセキュリティーの甘いサーバーがある
のが原因だと思われる。残念ながら、ここから本当の犯人を追跡するのは難しいだろう。
標的型メールの被害をゼロにするのは難しい
この事件について「メールの添付ファイルを開いてしまった意識の低さが問題」と批判するのは簡単だ。
しかしながら標的型メールの場合、被害をゼロにするのは不可能に近い。標的型メールの特徴をまとめ
てみよう。
●タイトル、本文が巧妙
標的型メールは、業務連絡を装ったり、震災や原発事故に関連した内容にするなど、思わず開いて
しまうような仕掛けとなっている。いわゆるソーシャルエンジニアリングの手口であり、タイトル・本文・添付
ファイルのタイトルを巧妙に作っている。セキュリティー会社の社内で演習を行ったところ、社員ですらも
だまされて開いてしまった事例があるほどだ。
●発信元の偽装
メールの発信元が偽装されれば、さらに被害は拡大する。たとえば今回の事件で言えば、最初に感染
した議員のパソコンからアドレス帳を抜き出し、そのリストを基にすればウイルス添付メールをばらまくことも
不可能ではない。知り合いからのメールなら、開いてしまう人が増えるだろう。
●添付されているのは文書ファイル
メールに添付されているのは、ほとんどの場合、PDF、エクセルなどの文書ファイルだ。文書ファイルを
開いただけで、ソフトの脆弱(ぜいじゃく)性を使ってウイルス感染させる。たとえば原発事故のファイルと
して開くと、実際に原発事故に関しての文書が表示されるのだが、裏ではウイルスに感染している。添付
ファイルを開いただけでは感染に気付かない。
●目立った被害がない=潜伏
標的型メールの目的は、パソコンに被害を与えることではなく、長期間忍び込んで情報を盗み出したり、
他のパソコン・サーバーへの攻撃の足場として使うこと。そのため感染に気付かないままで使っている場合
が多い。
●ゼロデイ攻撃・ウイルスの切り替え
ウイルス対策ソフトがあったとしても被害に遭う。対策の行われていない脆弱性を使って感染させたり
(いわゆるゼロデイ)、潜伏させるウイルス・トロイの木馬を遠隔操作によって新種に切り替えることができ
るからだ。
読売新聞 2011年10月28日
URLリンク(www.yomiuri.co.jp)
>>2辺りに続く