やり取り型攻撃への備え

この記事をシェア

企業のわずかにある心理的な隙を狙う巧妙な攻撃、それが「やり取り型」。商品やサービスについての問い合わせ窓口や人事部、広報部などを入り口にマルウェアへ感染させる手口だ。企業がやり取り型攻撃を回避するための対策を解説する。

巧妙きわまりない「やり取り型攻撃」

サイバー攻撃には様々な手段が使われている。最近では、「やり取り型攻撃」と呼ばれる、人間の心理的な隙をつくような巧妙な手法による被害がじわじわと拡大しつつある。これは、企業内のある人に狙いを定め、商品やサービスについての問い合わせなど通常のメール(あるいは普通を装ったメール)を数回にわたって「やりとり」し、安心させておいてからマルウェア付きメールを送り付けるといった攻撃だ。マルウェアに感染させ、そのパソコンを遠隔操作して企業から重要な情報を盗み出すのが、主な狙いだ。今回はやり取り型攻撃の実態や対策方法について説明する。

企業内のある人を狙い、様々な手法でその人が使っているパソコンにマルウェアをインストールさせようとするサイバー攻撃は、従来から行われていた。標的型攻撃や水飲み場型攻撃などがその例だ。

しかし、特定の企業や組織、団体などを標的とし、そこから目的の機密情報を盗み出すには、攻撃の精度を高める必要がある。下手な攻撃によって、狙われていることに気が付かれてしまっては、警戒レベルが引き上げられる恐れがある。

そこで成功率を高めるために行うのがソーシャルエンジニアリングだ。関係者を装って攻撃対象に近づいて信頼関係を構築しつつ、攻撃対象のシステム構成や脆弱性を分析。相手のシステム構成にあわせた攻撃を行うことで成功率を高める。狙った相手に侵入するためには、労力を惜しまず、執拗に攻撃をしかけ、目的を達成する。こういったソーシャルエンジニアリングを巧みに用いた攻撃がやり取り型攻撃だ。

情報処理推進機構(IPA)の発表によると、やり取り型攻撃は2011年頃から行われている。一時攻撃が止んだが、2014年には再び少なくても国内の5つの組織に対して攻撃があったことが判明している。ただし、これはあくまでIPAが把握した件数であり、表面化せずにさらに多くの攻撃が発生している可能性もある。

組織外部向け窓口部門の方へ:「やり取り型」攻撃に対する注意喚起 ~ 国内5組織で再び攻撃を確認 ~

やり取り攻撃とは

やり取りによって攻撃方法をカスタマイズ

やり取り型攻撃が、いわば「数打ちゃあたる」の理論で送り付けられるマルウェア付きメールによる攻撃と根本的に異なるところは、常に第2弾、第3弾の攻撃が用意されているところといえるだろう。一方的に送りつけるマルウェア付きメールによる攻撃であれば、マルウェアに感染しなかった相手に「次の手を打つ」ことはない。そうした労力よりも、不特定多数に大量に送り付けることで、「数打ちゃあたる」の効果を期待しているからだろう。

しかし、やり取り型攻撃は積極的に結果を確認し、それによって次の攻撃手法の判断材料に用いるのが特徴だ。IPAが2014年11月21日に公表した事例では、ますます巧妙化が進んでいる。

ひとつは、企業における商品やサービスの問い合わせ窓口であることを確認する無害なメールを攻撃の起点としていた。企業や組織にとってみれば問い合わせ窓口なので、必然的に回答しなければならない。そのことにつけ込むのだ。

案内を返信したところで、はじめてマルウェアが添付された質問メールが届く。さらに添付ファイルの内容が確認できないと返事をすると、別マルウェアを送付するなど執拗な攻撃を繰り返す。

標的にされた企業の窓口の担当者が反応しないでいると、「返事を待っている」などと催促し、ファイルを開かざる得ない状況へと追い込もうとするのが特徴だ。

2014年10月に発生したケースでは、セキュリティ対策ソフトの検出を避けるため、ファイルを暗号化したり、わざわざパスワードを別のメールで送付するなど、あたかもビジネスの環境で実際に用いられる暗号化システムで送信しているように演出するなど、極めて手が込んでいた。

IPAのレポートで取り上げられていたのは対応窓口での例だが、関係者を装う場合もある。さらにはSNSを通じたやり取りから攻撃をしかけるなど、想定されるバリエーションは多い。

「やり取り型攻撃」の周知と対応策の情報を共有し、パソコンの脆弱性をなくすのが有用

組織に求められる対応策は、まず巧妙な「やり取り型攻撃」が発生している情報を共有することだ。やり取り型攻撃では、最終的にマルウェアを感染させるための添付ファイルを悪用する。そして最終的に実行や展開させることで感染させようとする。

まずは、組織内すべてに「やり取り型攻撃」があることを周知する。本来対応窓口でない部署や従業員に直接送付される可能性もあるため、全社的に周知することが重要だ。その上で、外部からの添付ファイルをむやみに開かないようにするような対策を講じるべきだろう。

攻撃者は、実際にある問い合わせと類似したメールを作成して攻撃をしかけてきたり、無害のメールを交えることで、不信感を持たれないよう工夫してくる。攻撃手法が巧みであり、ひと目見ただけでは「攻撃」と把握できない点も頭に入れておこう。

安全を確認できないファイルについては、セキュリティ担当部門が精査する必要がある。マルウェアだった場合は、他部署でも同様の事案が発生しないか確認すべきだ。騙す口実も使い古されると、新たな手口が登場する。新たな攻撃を確認するたびに組織内で情報を共有し、リスクを低減していくことが重要だ。

外部向け窓口を持つ部署や、セキュリティ部門では、相手の信頼性を確認できず、どうしてもファイルを開かざるを得ない状況が発生することも想定して仮想化環境や、ネットワークと接続されていない隔離した環境を用意し、安全に添付ファイルを確認できる環境を用意しておくとよい。

またうっかりファイルを開いてしまう可能性も考慮し、技術的な対策も施しておく。社内パソコンに脆弱性がないように日頃から情報収集とアップデートを行いたい。未知の脅威がよくとり上げられているが、事象としては既知の脆弱性を利用するものの方が圧倒的に多いからだ。またゲートウェイで添付ファイルの安全性を確認したり、亜種に強いプロアクティブなセキュリティ対策ソフトを導入しておく。

やり取り型攻撃への対策ポイント

また、内部から外部へ不審な接続が行われていないかとネットワークを監視するなど、感染してしまった場合にも備えて、多重防御の対策も検討しておくべきだろう。

ESETの取り組み

ESETは、亜種を検出するヒューリスティックをいち早く取り入れてきたが、2014年12月に提供を開始したバージョンV8では、新機能「ボットネット プロテクション」を採用している。パソコンを外部から操るC&Cサーバーとの通信をキャッチして迅速にボットプログラムを検出・遮断することが可能となった。手はじめに個人向け製品と法人向けの「ESETオフィスセキュリティ」で採用している。

この記事をシェア

やり取り型攻撃のセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!