この攻撃の背景

今日のスパム活動において、IT部署からの通知を装ったメッセージが複数確認されており、世界各国で企業が標的となっています。ソーシャルエンジニアリングは、既に使い果たされた手法だと言う人がいるかもしれません。しかし今回、確認された不正なPDFファイルは、ソーシャルエンジニアリングの手法を利用してこの攻撃をしかけ世間の注目を集めました。攻撃者は、"Adobe Reader" および "Adobe Acrobat" に標準で搭載されている機能を悪用したのです。

この脅威は、どのような攻撃をユーザに仕掛けますか?

ユーザは、IT部署からの通知と称するスパムメールを受信することとなります。このスパムメールには、特別に細工されたPDFが添付されているのですが、この不正なPDFファイルが今回の攻撃の発端となります。この攻撃で利用された不正なPDFファイルは、トレンドマイクロの製品では「TROJ_KATUSHA.F」および「TROJ_PIDIEF.ZAC」として検出されます。これら2つの不正PDFのファイル開封がトリガーとなり、「TROJ_KATUSHA.F」および「TROJ_PIDIEF.ZAC」は、感染コンピュータ上で自身の不正活動を実行することとなります。

関連の不正プログラムは、どのようにユーザのコンピュータに侵入しますか?

ユーザが「TROJ_PIDIEF.ZAC」として検出される不正な PDF ファイルを実行すると、"Adobe Reader" の「Launch」機能を用いて、埋め込まれたスクリプト"batscript.vbs" を呼び出し実行します。Launch機能とは、"Adobe Reader" および "Adobe Acrobat" に標準で搭載されている機能で、PDFファイルに実行ファイルなどを添付する際に利用されます。この機能を用いることで、PDファイル内に添付された実行ファイルは、PDFフイルが開くと自動的に実行されます。埋め込まれたスクリプトファイルは、「VBS_EMOTI.A」として検出され、「WORM_EMOTI.A」として検出される"game.exe" を作成し、実行します。この「WORM_EMOTI.A」は、複数の不正な Webサイトにアクセスします。また、「WORM_EMOTI.A」には、ルートキットファイル "bp.sys"が含まれていました。このルートキットファイルは、「RTKT_EMOTI.A」として検出され、自身の不正活動を隠ぺいし、検出されるのを防ぎます。

この脅威は、どのような手口で添付ファイルを開くようユーザに促しますか?

受信者は、IT部署からの通知と称するスパムメールにより、「メールボックスの設定が変更されています」という偽の通知を受け取ります。また、メールの本文中には、設定を変更する前に添付のPDFファイルを読むように促しています。こうして、スパムメール内の指示を信用し設定変更について詳細を知ろうとしたユーザは、不正なファイルを開いてしまう恐れがあります。

なぜこの攻撃は Noteworthy に分類されたのですか?

「TrendLabs(トレンドラボ)」の英語ブログ「Malware Blog」では、これまで、特別に細工された PDF ファイルを利用する脅威事例について多数取り上げてきました。しかし、そのほとんどの事例では、不正なPDFファイルは、ユーザのコンピュータにアクセスするために、 "Adobe Reader" および "Adobe Acrobat " の脆弱性を利用しています。一方、今回の攻撃では、特別に細工されたPDFファイルは、両Adobe製品の1つの正規機能である「Launch」機能を悪用したのです。通常アプリケーションを実行したり埋め込まれたファイルを起動させるために使われるLaunch機能を用いて、侵入したコンピュータ上で不正プログラムを実行させるのを可能にしました。

コンピュータを攻撃から守るにはどうすればいいのですか?

ユーザは、メールを開封したり添付ファイルをダウンロードすることに慎重になることが大切です。スパムメールは、通常、身元不明な人物から送信されてきます。しかし、スパム送信者は、企業のIT部署といった正規の送信者から送られてきたメッセージの装い、ユーザにメールを開封するように促すのです。今回のような事例の場合、ユーザは、添付ファイルのプロパティや送信者のメールアドレスなどの詳細情報に対して細心の注意を払うべきです。また、関連部署の担当者にメールの内容について問い合わせすることも賢明です。 なお、今回のような攻撃の影響を軽減するためにAdobeは、より有効な解決策を提示するまで "Adobe Reader" および "Adobe Acrobat" の設定で、PDFファイルではない添付ファイルの開封を許可しないように変更することを推奨しています。セキュリティ管理者は、また、関連のレジストリ設定を変更し、ユーザが今回の攻撃で利用された機能を有効にできないようにするのも1つの対策です。

今回のような事例の場合、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」と連携した「Eメールレピュテーション」技術により、今回の攻撃に関連するすべてのスパムメールをブロックします。また、「ファイルレピュテーション」技術により、今回のスパム攻撃に関連する不正なファイルのダウンロードおよび実行を防ぎます。トレンドマイクロ製品をご利用でないユーザは、無料ツール「HouseCall」をご利用の上、関連の不正プログラムやワームに感染していないか、また、不要なブラウザのプラグインがインストールされていないかの確認をお勧めします。