標的型攻撃
標的型攻撃とは
特定の組織や団体をターゲットとした攻撃。取引先などの関係者や、公的機関を装ってマルウェアや不正なリンクが埋め込まれたメールを送ることによって、知的財産や金銭を盗むもうとする。「プロの犯罪者」による攻撃といえる。
標的型攻撃のメールの特徴
- 受信者の業務に関係のありそうな件名と本文
- 送信者の署名欄は、公的機関や組織内の管理部門を装っている
- 本文の内容に沿った添付ファイル名
- 社会情勢を反映した内容
- イベント、ニュース、注意喚起、報告書を装う
- 文書ファイルを装ったマルウェアを添付
ウイルス対策ソフトによる検知について
しばしばその攻撃専用のマルウェアが用いられるため、ウイルス対策ソフトによる検知が困難である。
また、攻撃対象の組織で使用されているウイルス対策ソフトを調査した上で、当該ソフトでは検出されないマルウェアが使われることがある。
さらに、被害の範囲が限定的であるため、ウイルス対策ソフトのベンダにマルウェアの情報が伝わらず、ウイルス定義ファイルに登録されないという問題もある。
「新しいタイプの攻撃」
複数の既存攻撃を組み合わせ、長期間にわたり執拗かつ巧妙に攻撃を繰り返し情報盗み出す行為。『新しいタイプの攻撃』はIPAによる呼称であり、海外ではAPT(Advanced Persistent Threats)と呼ばれている。
添付されているマルウェアの具体的な偽装方法
実行形式(.exe)のファイルであることをどのようにして隠すか→
- アイコンを文書ファイルに見せかける。
- 本来の拡張子の前に空白文字を並べて別の拡張子であるかのように見せかける。「議事録.doc .exe」
- 文字の並びを右から左に読むように変更するUnicodeの制御文字[RLO]を利用する。「議事録[RLO]cod.exe」→「議事録exe.doc」