企業の上層部を標的にしたトロイの木馬攻撃、ソーシャルエンジニアリング的手法も

　上場企業のトップレベルの社員がサイバー犯罪の標的になっている。採用応募を装い、マルウェアに感染したRTFドキュメントを送るというのが、その手口だ。

　セキュリティ対策企業のMessageLabsは2007年9月、マルウェアに感染したRTF（Rich Text File）ファイルを添付した電子メールが、16時間のうちに1100通確認されたと報告した。同社によると、2007年9月13日から14日にかけて、4回にわたり攻撃が行われたという。

　「すべて（の電子メール）が（トップレベルの）マネジメント宛てだった。電子メールの件名欄には企業名が含まれており、人材会社を装っていた。添付ファイルとして、実行可能なRTFファイルが添えられていた」と、MessageLabsの関係者は話す。

　この関係者によると、同じような電子メールは6月にも検知されていたとのことだ。

　電子メールは本文が空で、実行可能なRTFの中に「.scr」拡張子のついたスクリーンセーバーを装うダミーファイルが入っているという。ファイルを開こうとすると「Microsoftはエラーに遭遇したためクローズします」というメッセージが表示され、「閲覧するにはメッセージをダブルクリックしてください」とのアドバイスが示される。

　RTFファイルが始動すると一連のファイルのダウンロードが開始され、攻撃者のサーバと感染したコンピュータとの間にセキュアな接続が確立される。

　ターゲットが企業のトップレベルであることから、攻撃者が企業の情報を狙っていることは明らかだが、今回の件についてさらに憂慮すべきなのは、トロイの木馬を隠し持った電子メールを広めるのにソーシャルエンジニアリングの手法が用いられている点だと、MessageLabsの関係者は話す。

　「この電子メールの手口は、非常に有効なものになる可能性がある。まずはトップを陥れるというやり方だ。送られてきたメールを企業の上層部が社内で転送すれば、この電子メールは信頼できる送信先からやってきたことになる」とこの関係者は語った。

　また、今回の電子メールはすべて宛先が1人になっていたため、怪しいメールとして目立つこともあまりなかったと、MessageLabsの関係者は指摘している。

　F-Secureのセキュリティ専門家Patrik Runald氏は最近、完全な攻撃があるとすれば、ルートキットを隠し持つトロイの木馬を人事担当マネージャーに送りつけるゼロデイ攻撃だろうという話をしていた。人事担当マネージャーは、会社の方針ですべてのドキュメントを開かざるを得ないこともあるからだ。

　「これは恐ろしいケースだ。なぜなら、この攻撃から自分を守ることは非常に困難だからだ。『Office』は起動する必要があるし、Word、RTF、PowerPointおよびExcelファイルのやりとりは許可せざるを得ない。つまり、シグネチャ（特徴）ベースのアンチウイルス機能は十分ではなく、それを超えたテクノロジが必要とされている」とRunald氏は語る。

　Runald氏によれば、一般的な形式のファイルの受け取りを禁止するのが現実的ではない以上、この種の脅威からの防衛策として組織にできることは、ユーザーにこうした攻撃の危険性を教育する以外はほとんどないという。

　シグネチャが違っても悪質なファイルのふるまいは同じであるため、こうした攻撃をブロックするにはヒューリスティック検知、あるいはファイルのふるまいに基づいた監視の方が有効であることがわかってきていると、Runald氏は話している。