自然なメールのやり取りからマルウェア開かせる「やりとり型」標的型攻撃が増加

企業から情報を引き出す標的型のメール攻撃が引き続き発生している。2013年上半期は、確認されたメール件数は2012年下半期から半減しているものの、受信者が気が付きにくい攻撃へと巧妙化が進んでいる。

警察庁が、約5000社が参加するサイバーインテリジェンス情報共有ネットワークにて情報を集約し、2013年上半期におけるサイバー攻撃状況として取りまとめたもの。

2013年前半に警察が把握した標的型攻撃目的のメールは、201件。前年同期の552件、前期の457件から大幅に減少した。国内情勢に便乗し、同じ文面や不正プログラムが10カ所以上に送付する「ばらまき型」の攻撃が減少したことが一因だという。

メールの件数ではなく、手口の割合で比較すると一目瞭然で、「ばらまき型」の攻撃は2012年は88％と大半を占めていたが、2013年上半期は24％まで割合が縮小した。受信者が警戒し、攻撃が発覚することを避けるため、攻撃手法に変化が生じていると見られている。

一方で、数度にわたり連絡を取り合い、安心させたところで攻撃をしかける「やりとり型」の攻撃が急増。2012年は年間を通じて2件しか確認されていなかったが、2013年前半だけで33件にのぼった。

手口としては、採用関連が5割強を占めており、製品の不具合に関する問い合わせが約3割。やりとりがはじまるきっかけは、約7割が問い合わせ窓口のメールアドレスを確認する内容だった。

またメールを受信したアドレスは、8割が公開アドレス。送信元メールアドレスはフリーメールが6割強にのぼる。特に「やりとり型」の攻撃は、すべてフリーメールから送信されていたという。

攻撃に用いられた添付ファイルは、「履歴書」「質問状」「不具合の状況」といった名称が多い。圧縮形式で送付し、内部のファイルは約9割が実行ファイルだが、半数がアイコンによりWordファイル、3割が画像ファイルを装い、拡張子の偽装も見られた。

（Security NEXT - 2013/08/23 ）ツイート