なくならないマルウェア・不正マクロ添付攻撃

　本コラムでも何度も取り上げているが、近年のサイバー攻撃は標的型攻撃が大きな問題となっている。統計データでは、サイバー攻撃全体の届け出数は以前より減少傾向にあるものの、被害金額は増加しており、標的に対してピンポイントに、効率よく攻撃を成功させているという分析がされている。

　しかし3月5日、IBMが公開した「2014年下半期 Tokyo SOC 情報分析レポート」では、クライアントPCへの攻撃は、相手を特定せずに広範囲にばらまかれたメールによる攻撃が、依然として観測されていることが分かった。このメールは、実行可能形式のファイル（59.4％）や不正マクロを含んだWordやExcelといったアプリケーションファイル（38.5％）を添付するものがほとんどだったとしている。この結果は、標的型攻撃が増えている、脆弱性を狙った攻撃が増えている、といった傾向とは対照的だ。

　つまり同レポートは、「標的型攻撃や脆弱性を利用した攻撃は確かに増えているが、従来型の不正マクロや実行ファイルをメールで送りつける攻撃の脅威がなくなったわけではない」ことを示しているわけだ。

フィルタやアンチウイルスをすり抜ける添付ファイルに注意

　ここで、ひとつの疑問が湧く。セキュリティベンダーが提供するウイルス対策ソフトのシグネチャファイル、ウイルスデータベースはかなりの脅威を取り除いてくれるはずだ。つまり従来型の不正マクロやウイルス添付によるメールに対しては、ウイルス対策ソフトなどがインストールするという対策がされていれば、そこまで心配はないのではないか。

　しかし、同レポートのデータは、スパムフィルタやアンチウイルスなど、対策ソフトを通過したもので集計・分析しているとしている。つまり、ばらまき型のメール攻撃でも、一定の割合で通過してしまう添付ファイルは存在するわけだ。その理由について、企業などで現実的には添付ファイルやマクロの全面禁止ができないことがあるからとしている。

　それ以外にも、マルウェア開発キットや開発代行サービスによって新種や亜種の開発が容易になっていることも、アンチウイルスをすり抜けるものを増やしている可能性もある。

　なお、観測された従来型のメール攻撃は、exe、scf、com、bat、pif、doc、docxファイルの添付がほとんどで、アイコンや拡張子偽装も行われている。これらの実行ファイルや不正マクロは、オンラインバンキングの情報窃取、ランサムウェア、踏み台・ボット化などを直接実行するものだという。

【次ページ】ユーザーの意識が最後の砦