2015年2月18日 08:00
欧米でインサイダー情報を狙う攻撃 - メールのパスワードを狙う単純な手口、今後は日本も
と推測している。
おとり文書のVBAマクロは、Outlookのパネルを呼び出すだけの単機能なものであり、これだけではアンチウイルス製品は検知しない。単純な方法にすることで、検知を遅らせて、長期的に監視できるようにしているのかもしれない。
合わせてシンプルな攻撃であるゆえに、犯人のプロファイリングも難しくなる。本城氏は「通常のAPT攻撃では、マルウェアなどの痕跡が残るため発覚しやすい。しかしFIN4はメールを盗み読みするだけでの簡単な手口であり、痕跡が残らない。そのため犯行グループのプロファイリングができない状態だ」とした。
FIN4のメール攻撃への対策として、本城氏は以下の項目をまとめた。
メールシステムに二要素認証を導入する
TORによるメールシステムへのアクセスを制限
VBAマクロを無効にする(デフォルトでは無効になっている)
本城氏は「今のところ、日本を狙った攻撃は確認されていないが、日本がターゲットになる可能性がある」と述べた。アジアはAPT攻撃が活発な地域であり、日本がトップ3に入っているほか、FireEyeの調査によれば日本の企業のうち26.5%が何らかのAPT攻撃を受けているとのこと。