IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、従来のフィッシング詐欺とは異なり、ウイルスを使用した事例が判明した。その手口や対策について紹介する。
ウイルスを使った新たなフィッシング手口
まずは、その手口を順を追ってみていく。まずはフィッシングメールである(図1)。
大手銀行を騙り、新たな確認番号カードの再発行の手続きをするようにとある。この新しい手口では、送られたメール添付ファイルがあり、そこに必要事項を記入し、返信を要求している。IPAによれば、この添付ファイル自体が、ウイルスのBankerやJginkoであったとのことである。さらに、添付ファイルのアイコンも銀行のロゴマークを使い、信用させようとしている(図2)。
実際に添付ファイルを実行した一例が図3である。
このファイルでは、契約者番号やパスワードなどを入力するように求められる。IPAでは、このようなメール自体がありえないと、警告している。実際に送信ボタンをクリックすると、外部のサーバーに、入力済みの画面を画像データとして送信しようとする。外部サーバーへの接続に失敗した場合には、文字化けしたメッセージが表示される(図4)。
IPAの分析では、中国語簡体字として表示すると「接続の失敗」を意味する文字となることだ。これより、このウイルスは中国語を理解する人物によって作成された可能性がある。もし、正しく送信が行われると、銀行口座に関する個人情報の多くが、悪意を持った攻撃者に渡り、なりすまされる可能性がある。
この手口への対策
従来のフィッシング詐欺では、偽のWebサイトを開設し、そこへユーザー誘導する。ところが、今回のケースでは、メールの添付ファイルそのものにアカウント情報を入力させる仕掛けが施されており、仕組みとしては単純とのことだ。しかし、単純であるが故に、基本的な対策を確実に実施することが有効な対策となる。
メールの真偽の確認
金融機関などからと思われるメールでも、内容を慎重に確認する。そもそもカード番号や暗証番号を入力するような依頼がメールで届くことはない。もしそのようなメールが金融機関などから届いた場合は、送信元に電話で問い合わせたり、Webサイトのお知らせなどを読み、その情報(メール)の真偽を確認する。電話で問い合わせをするときは、メール本文に記載されている連絡先ではなく、口座開設時に送付された書類を見るなど、正しいと確証が持てる連絡先を使うこと。
メール記載のリンクに注意
メール本文内にあるリンク先に不用意にアクセスしない。当該銀行などのWebサイトを確認する場合は、メール中のリンクからアクセスするのではなく、ブラウザの「お気に入り」や「ブックマーク」に正しいアドレスを登録しておき、つねにそちらからアクセスするようにする。
オンラインバンキングなど使っているならば、今一度、確認すべきだろう。
東日本大震災に乗じた標的型攻撃メールのIPAの分析・調査
IPAでは、3月11日の東日本大震災以降発生した標的型攻撃メールを使ったサイバー攻撃の分析調査報告を9月29日に公開した(図5)。
詳細は、こちらを参照していただきたいが、その一部をここで紹介しよう。最近、企業・団体などを狙う標的型攻撃メールが頻発している。東日本大震災においても、放射線への脅威、計画停電への不安など、人心の恐怖と関心を悪用した攻撃が行われた。
IPAでは、攻撃メールに添付されていたウイルスの分析を行い、次のような特徴がみつかった。
- 感染すると端末内の情報(OS情報やディスク情報など)が窃取される
- ウイルス自身が更新(アップデート)される
- 攻撃時点ではセキュリティパッチが公開されていない脆弱性を悪用している(いわゆるゼロデイ攻撃)
- 震災に乗じ、受信者の心理につけこんだ攻撃メール
- 添付ファイルを開くと、実際の震災関連情報と思われるダミーの文書を表示する(したがって、感染したことに気がつかない可能性が高い)
IPAでは、対策として以下をあげている。
- メールの送信元を確認
- 一見自然なメールでも慎重に判断・対応
- 各種ソフトウェアを定期的にアップデート
- 入口対策・出口対策の実施
東日本大震災の便乗に限らず、標的型攻撃メールが増加している。震災以外にも、送り付けられたユーザーが、ついメールを読んでしまいたくなるような仕掛け(ソーシャルエンジニアリング的手法)がされていることが多い。改めて、注意意識を高めるとともに、脆弱性対策なども抜かりなく行ってほしい。