内閣府を偽った不審メールを確認、標的PCの遠隔操作目的か
トレンドマイクロでは、内閣府を偽った不審メールを受信したという複数の報告を受け、解析を行った結果、バックドア型の不正プログラムが仕込まれていることが確認されました。
内閣府に実在する人物を詐称して送られたこの不正なメールでは、「御依頼の資料について」という件名が使われており、詳細については添付されているファイル「エネルギー.ZIP」を確認するように促す本文になっています。昨年発生した東日本大震災以降、エネルギー問題が日本国内では継続して議論されていることから、そのトピックに便乗したものと思われるものの、非常に漠然とした件名と本文から不特定多数に対して送りつけられる意図が想定されます。事実、トレンドマイクロでは、業種的に関連性のない複数の組織から報告を受けています。
/cabinet-office-email/cabinet-office-email-01.jpg)
しかし、このメールに添付されているファイルは、バックドア型不正プログラムで、トレンドマイクロでは「BKDR_POISON.AB」という名前で検出します。バックドア型不正プログラムという観点では、遠隔操作で犯罪予告を行うのに使われていたとされる「BKDR_SYSIE.A」が報道を賑わせています。
今回確認された「BKDR_POISON.AB」も同様にバックドア型不正プログラムで、ファイル、プロセス、サービス、デバイスなどの操作といった機能はもちろん、シェルコマンドの実行や画面キャプチャ、Webカメラ表示の閲覧、マイク音声の取得、キャッシュされたパスワードの取得など、様々な機能を有するものです。バックドア型不正プログラムに感染すると、PCやネットワーク上にある情報が攻撃者によって窃取、漏えいされる危険性があるため、個人だけでなく企業などの組織においても注意が必要です。
「BKDR_POISON.AB」はPoisonIvyというRAT(Remote Administration Tool)作成ツールによって作成されたもので、使い勝手の良さから広く利用されている実情をトレンドマイクロでは確認しています。2012年上半期には、日本国内で確認されている標的型サイバー攻撃(持続的標的型攻撃)の約40%近くでこのPoisonIvyが使われていることが明らかになっています。
トレンドマイクロでは、「BKDR_POISON.AB」という検出名でこのバックドア型不正プログラムに対応しているとともに、この不正なメールをスパムパターン(Anti-Spamパターン)で、さらに不正プログラムの接続先をWebレピュテーションでブロックします。さらに、今回確認されたメール、またこの不正プログラムによる通信は、Deep Discoveryでも検出することができます。Deep Discoveryのような、メールに添付されている疑わしいファイルの検出や、社内ネットワーク通信を監視して不正な挙動を検出する製品も対策として一つの有効な手段となります。
PC側での対策としては、ウイルス対策ソフト、セキュリティソフトをインストールして常に最新の状態にする、OSやアプリケーションの自動アップデートを有効にする、などの対策手段に加えて、疑わしいメールを安易に開かない、疑わしい添付ファイルを安易に開かない、などの対策が必要です。
参考記事:
・2012年上半期国内における持続的標的型攻撃の傾向レポートを公開