2015年2月18日 08:00
欧米でインサイダー情報を狙う攻撃 - メールのパスワードを狙う単純な手口、今後は日本も
最大の特徴は、メールのみをターゲットにしていることだ。通常のAPT(標的型攻撃)のように、マルウェアを忍び込ませて内部から情報を取るのではなく、単純にメールのIDとパスワードを盗みとり、メールの文書を読んだり、フィッシングメールを送ったりする。
具体的にはM&Aを行う企業・コンサルティング会社に対して、標的型メールでID・パスワードを盗みとっている。M&Aの発表直前にフィッシングメールを送る動きもあり、実際にM&Aの発表で株価が動いているため、犯人グループはここで利益を得た可能性がある。
メールのIDとパスワードを盗み取る方法は2種類ある。1つはフィッシングサイトへの誘導で、ターゲットに向けて偽のOutlook Web Acess(OWA)のリンクを送る。
OWAは、Microsoft Exchange ServerのWebメールサービスで、企業で使われているExchangeのメールやカレンダーに対して、ブラウザからアクセスできるものだ。犯罪グループが用意した偽のOWAサイトへ誘導し、ターゲットのIDとパスワードを盗み取る。
もう1つの方法は、添付ファイルでIDとパスワードを盗む方法だ。