メッセージラボ ジャパン株式会社（以下、メッセージラボ）は、2月16日、７つの異なる組織に対する、メールを利用したターゲットアタックを確認しました。この攻撃のほとんどが、公共部門や、教育機関に対して行われていました。

メッセージラボは、世界的に著名なマルウェアとスパムの専門家を多数擁する「MessageLabs Team Skeptic™」を有しており、毎日数十億件のWebページ、電子メール、インスタント・メッセージ（IM）の監視を行っています。
メッセージラボインテリジェンスでは、2010年1月だけで、1976件ものターゲットアタックを確認し、捕捉しています。このようにターゲットアタック自体は珍しいものではありませんが、興味深いことに、今回のターゲットアタックでは、ボットネットを利用し、不特定多数にばらまかれることの多いBredolabマルウェアが、非常に特定されたターゲットへのメールに添付されていました。また、今回の攻撃で使用されたBredolabマルウェアは変種で、通常のBredolabマルウェアのように被害者から不正に料金を引き出すためのものではなく、情報を盗み出すために利用されました。また、送信元として正規のWebメールアカウントも利用されており、ボットネットと正規Webメールの連携も示唆するものなので注意が必要です。こういった正規のテクニックが含まれる攻撃はアンチウイルスベンダーによっては阻止できないケースも見られます。


【 図1: Bredolabマルウェアを使ったターゲット攻撃の例】
ターゲットアタックでは、受信者の興味を引くために、政治的なトピックをテーマとする場合が多くありますが、「招待」「カンファレンス」「レジュメ」などといったキーワードを使い、メッセージの受信者に添付ファイルを実行させるよう仕向けることもしばしばです。今回のターゲットアタックも「カンファレンスへの招待」について書かれたもので、添付されていたZIPファイルには、悪質なコードを全く含まない完全に安全なオフィスドキュメントと一緒にマルウェアを実行させる「.scr」という拡張子を持った悪意のあるファイルが含まれていました。ファイルを実行した後、情報を抜き出すためのソフトフェアがインストールされ、さらにクライアントPCから自動的に情報のアップロードが行われ、最後にサイバー犯罪者がアップロードされた情報を回収するような仕組みとなっています。

【 図2: ZIPファイルに含まれていたオフィスドキュメント】
上記は、公共部門や教育機関など、特定機関を狙ったBredolabマルウェアによるターゲットアタックですが、これらは日々メッセージラボのメールセキュリティサービスが阻止している脅威の一例となります。ターゲットとなりうる機関は注意が必要です。

シマンテックについて
シマンテックは、今日の情報主導の社会（information-driven world）において、企業および個人の情報の保護と管理を実現するためのセキュリティ、ストレージ、システム管理のソリューションを提供する世界的なリーダーです。シマンテックが提供するソフトウェアとサービスは、あらゆる箇所で発生するリスクから、情報を包括的かつ効果的に保護し、情報が使用/保存されている場所を問わずに確実に保全します。詳細は www.symantec.com/jp をご覧ください。

• Symantec 社の名称、ロゴは、米国 Symantec Corporation の米国内およびその他の国における登録商標または商標です。
• 　その他製品名などはそれぞれ各社の登録商標または商標です。

メッセージラボについて
メッセージラボは、中小企業からフォーチュン500社まで、世界99か国以上の国々で21,000社以上のクライアントを擁し、メッセージングとWebを対象に統合セキュリティ サービスをご提供するリーディング プロバイダです。メールやWebによるコミュニケーションの保護から管理、暗号化にわたる幅広い管理セキュリティ サービスをご提供しています。詳しくは、メッセージラボのWebサイトでご覧いただけます。