「TrendLabs(トレンドラボ)」では、脅威を調査する過程で、恐怖や喜びといった異なる感情につけこむ複数のソーシャルエンジニアリングの手口を確認してきました。過去のさまざまな事例に見られたように、これらの手口は、多くの場合において効果的です。しかし、最近の事件や季節の行事といったよく知られたテーマが頻繁に利用されるため、容易に見分けられます。
この他にも、より慎重な手口を用いる別の手法もあります。これらの手口は、不安をあおることを目的としておらず、むしろ警戒心を与えないようにしています。そして対象とするユーザの日常の行動に溶け込もうとしたり、ユーザの興味を利用したりしようとします。こうした手口は、用いられているメッセージを見ると危険性が少ないように見えますが、この手口に気付くのが難しく、より悪意がある場合があります。
米国のセキュリティ会社「Mandiant」は、2013年2月19日(米国時間)、レポートを公開しましたが、トレンドラボでは、そのレポートの名前を罠として利用する攻撃が報告されたことを確認しています。この攻撃で利用されたメッセージでは、送信者がそのレポート記事を読むことを推奨しているもので、そのレポートであるかのように見せかけた PDFファイルが添付されています。もちろん、この PDFファイルは不正なファイルであり、トレンドマイクロの製品では「TROJ_PIDIEF.EVF」として検出されます。またトレンドラボでは、記者を標的にしたと思われる Mandiant社のレポートを利用した他の攻撃についての報告も受けています。「TROJ_PIDIEF.VEV」として検出されるこの不正プログラムは、「BKDR_POISON.EVE」として検出されるバックドア型不正プログラムおよび無害な PDFファイル “Mandiant_APT2_Report.pdf” を作成します。
 |
|
|
 |
|
|
皮肉なことに、標的型攻撃について興味を持ち、その詳細を知るためにファイルを開けてしまったユーザが、被害者の一人となってしまうのです。このようなセキュリティへの関心を悪用した同様の事例として、Javaのゼロデイ攻撃の事例も確認しており、その事例の不正プログラムは、脆弱性に対応する Oracle が公開した修正プログラムを装っていました。
Forward-looking Threat Research チームの Nart Villeneuve は、「The Trends in Targeted Attacks of 2012」の記事の中で、サイバー犯罪者が不正プログラムを拡散する策略としてセキュリティ研究員による研究結果をどのように利用するかについて説明しています。この傾向は、2011年の Symantec社のレポートを悪用した Nitro の一連の標的型攻撃でも確認しています。
初期の侵入経路とは別に、今日のソーシャルエンジニアリングの罠は、もはや目新しいものや恐怖心をあおるようなものに限られているのではなく、日常的な興味や身近な場所でも攻撃の発端となり得ることができることを念頭に置いておく必要があります。また、トレンドマイクロの Forward-looking Threat Research チームのディレクターである Martin Roesler は、過去のブログ記事にて「攻撃者は、優位な立場にあり、標的とするユーザについて情報を持っており、その情報によって攻撃方法を変える」と説明しています。ユーザは、常に警戒を怠ることなく、標的にされる可能性があるという意識を持つことを知っておく必要があります。
※協力執筆者:Nart Villeneuve (Senior Threat Researcher)
参考記事:
by JM Hipolito (Technical Communications)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)