2015年2月18日 08:00
欧米でインサイダー情報を狙う攻撃 - メールのパスワードを狙う単純な手口、今後は日本も
犯人から送られたフィッシングメールに、おとりの文書が添付されており、開くと偽のパネルを表示し、入力したIDとパスワードを犯人側へ送ってしまう。VBA Macroを使ったシンプルなもので、IDとパスワードを送る以外の動作をしないのが特徴だ。
本城氏は「いずれの方法も標的型メールだが、とても巧妙な手段を使っている。おとりの文書に盗んだ内部文書を使ったり、通常のメールのやり取りに返信する形で標的型メールを送るなど、通常のメールとの判別が難しい」としている。
また、犯人側の追跡回避策として、Outlookに勝手にルールを追加してメールが不正であることを気づきにくくしたり、匿名化ネットワークであるTORを経由してメールの盗み見をすることで、追跡されにくくしている。
○あえてシンプルな手口に
このようにFIN4は、メールに特化した攻撃を行うことが特徴だ。通常のAPT(標的型攻撃)のようにマルウェアを長期的に忍び込ませることはせず、メールのIDとパスワードを盗みとって、盗み見とフィッシングメール送信のみを行う。
シンプルな方法を使うことについて、本城氏は「高度なマルウェア対策を行うアンチウイルスソフトの検知を、すり抜けるためではないか」