検索:
ホーム   »   不正プログラム   »   内閣府を偽った不審メールを確認、標的PCの遠隔操作目的か

内閣府を偽った不審メールを確認、標的PCの遠隔操作目的か

  • 投稿日:2012年10月12日
  • 脅威カテゴリ:不正プログラム, メール, 日本発, 感染媒体
  • 執筆:上級セキュリティエバンジェリスト 染谷 征良
0

トレンドマイクロでは、内閣府を偽った不審メールを受信したという複数の報告を受け、解析を行った結果、バックドア型の不正プログラムが仕込まれていることが確認されました。


内閣府に実在する人物を詐称して送られたこの不正なメールでは、「御依頼の資料について」という件名が使われており、詳細については添付されているファイル「エネルギー.ZIP」を確認するように促す本文になっています。昨年発生した東日本大震災以降、エネルギー問題が日本国内では継続して議論されていることから、そのトピックに便乗したものと思われるものの、非常に漠然とした件名と本文から不特定多数に対して送りつけられる意図が想定されます。事実、トレンドマイクロでは、業種的に関連性のない複数の組織から報告を受けています。

図:内閣府から送信されたように装ったメールの一例
図:内閣府から送信されたように装ったメールの一例

しかし、このメールに添付されているファイルは、バックドア型不正プログラムで、トレンドマイクロでは「BKDR_POISON.AB」という名前で検出します。バックドア型不正プログラムという観点では、遠隔操作で犯罪予告を行うのに使われていたとされる「BKDR_SYSIE.A」が報道を賑わせています。

今回確認された「BKDR_POISON.AB」も同様にバックドア型不正プログラムで、ファイル、プロセス、サービス、デバイスなどの操作といった機能はもちろん、シェルコマンドの実行や画面キャプチャ、Webカメラ表示の閲覧、マイク音声の取得、キャッシュされたパスワードの取得など、様々な機能を有するものです。バックドア型不正プログラムに感染すると、PC やネットワーク上にある情報が攻撃者によって窃取、漏えいされる危険性があるため、個人だけでなく企業などの組織においても注意が必要です。

「BKDR_POISON.AB」は PoisonIvy という RAT(Remote Administration Tool)作成ツールによって作成されたもので、使い勝手の良さから広く利用されている実情をトレンドマイクロでは確認しています。2012年上半期には、日本国内で確認されている標的型サイバー攻撃(持続的標的型攻撃)の約40%近くでこの PoisonIvy が使われていることが明らかになっています。

トレンドマイクロでは、「BKDR_POISON.AB」という検出名でこのバックドア型不正プログラムに対応しているとともに、この不正なメールをスパムパターン(Anti-Spam パターン)で、さらに不正プログラムの接続先を Webレピュテーションでブロックします。さらに、今回確認されたメール、またこの不正プログラムによる通信は、Deep Discovery でも検出することができます。Deep Discovery のような、メールに添付されている疑わしいファイルの検出や、社内ネットワーク通信を監視して不正な挙動を検出する製品も対策として一つの有効な手段となります。

PC側での対策としては、ウイルス対策ソフト、セキュリティソフトをインストールして常に最新の状態にする、OS やアプリケーションの自動アップデートを有効にする、などの対策手段に加えて、疑わしいメールを安易に開かない、疑わしい添付ファイルを安易に開かない、などの対策が必要です。

  • 参考記事:
    ・2012年上半期国内における持続的標的型攻撃の傾向レポートを公開
      /archives/5812
  • Related posts:

    1. 国内企業を標的としたウイルス感染調査を騙るウイルス添付メール、制御文字RLOを使った拡張子偽装を確認
    2. 2013年第1四半期のセキュリティ動向:「ソーシャル」、「クラウド」、「非Windows」
    3. 2013年 年間セキュリティラウンドアップ:金銭を狙う攻撃が世界規模で拡大
    4. 「vvvウイルス」の正体とは? ランサムウェア「CrypTesla」の流入は限定的


    • 個人のお客さま向けオンラインショップ
    • |
    • 法人のお客さま向け直営ストア
    • |
    • 販売パートナー検索
    • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
    • Latin America Region (LAR): Brasil, México
    • North America Region (NABU): United States, Canada
    • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
    • 電子公告
    • ご利用条件
    • プライバシーポリシー
    • Copyright © 2019 Trend Micro Incorporated. All rights reserved.