近年、特定の組織を対象として、メールの送付元を知人や取引先企業等に詐称してウイルスを送付する「標的型攻撃」が発生しています。IPAセキュリティセンターでは、それら攻撃への対策促進のため、「脆弱性を狙った脅威の分析と対策について」を定期的に公開しています。今回、2010年3月に発生した標的型攻撃を解析し、その結果概要を「脆弱性を狙った脅威の分析と対策について　Vol.4」として公開しました。また、2009年12月に発生した標的型攻撃の解析結果概要（Vol.3¹ ）の内容と合わせ、2009年度版最終報告書を作成し、公開しました。
　Vol.4で解析した「標的型攻撃メール」の特徴は以下の通りです。

1. 受信者に心当たりのない個人名
2. フリーメールのアドレス
3. 受信者が業務用で加入しているメーリングリスト
4. 当時話題になっていたニュースを連想させる件名
5. 受信者に添付ファイルを開くよう仕向ける文章
6. 実在の団体名
7. フリーメールのアドレス
8. 本文と関連がありそうな名前のDOCファイル。実態はマルウェア²

　標的型攻撃を解析した結果、Vol.4で紹介している標的型攻撃は、Microsoft Wordの脆弱性を利用しており、この脆弱性は攻撃から4年前に発見されたものであることが分かりました。また、この脆弱性とVol.3の標的型攻撃において利用された脆弱性の比較を行いました。その結果を表1に示します。

　Vol.3の標的型攻撃は、攻撃時点ではまだパッチが発行されていないゼロデイ攻撃でした。これに対して、Vol.4の標的型攻撃では約4年前に発見された脆弱性が利用されており、この点で2件の標的型攻撃は対照的です。定期的なバージョンアップを実施していないユーザが一定数存在することは、攻撃者を含めて広く知られており、そのため、発見から4年が経過した古い脆弱性でも依然として攻撃に利用されています。パソコンの利用者は、基本的なセキュリティ対策であるバージョンアップを確実に実施する必要があります。また、ゼロデイ攻撃にも対応するため、Vol.3で紹介したような更新プログラムが存在しない脆弱性への対策も併用することが望ましいと言えます。
　上述のとおり、攻撃には古い脆弱性が利用されることもありますので、定期的なバージョンアップを行い、現在までに発行されたパッチは全て適用してマルウェアへの感染を防ぐことが必要です。Microsoft製品のバージョンチェックにはMicrosoft Update³ を使用してください。Adobe Reader等9つの製品のバージョンチェックには、MyJVNバージョンチェッカ⁴ を使用することが可能です。

　最終報告書では、Vol.3とVol.4の標的型攻撃について、それぞれに用いられたマルウェアの動作やソーシャルエンジニアリング ⁵手法等の詳細を記述し、2009年度に発生した標的型攻撃への対策をまとめています。　

　標的型攻撃は特定の組織を標的にするため情報が表面化し難く、被害に気付きにくい攻撃です。IPAでは、本調査報告書の事例のような「不審メール」の情報収集、および予防・対処方法等の情報提供を目的とした「不審メール110番」⁶ 相談窓口を設置しています。

　IPAでは今後も、標的型攻撃について調査・分析を実施し、標的型攻撃に対する知識の普及、対策の促進のため、「脆弱性を狙った新たなる脅威の分析と対策について」として定期的に対策を発表していきます。

• 「脆弱性を狙った脅威の分析と対策について　Vol.4」（全8ページ）(138KB)

• 「2009年度 脆弱性を利用した新たなる脅威の分析による調査」（全54ページ）(971KB)

• プレスリリース全文(47KB)

IPA　セキュリティセンター(IPA/ISEC)　小林／中野／長谷川

Tel: 03-5978-7527 　Fax: 03-5978-7518

E-mail:

IPA　戦略企画部広報グループ　横山／大海

Tel: 03-5978-7503 　Fax: 03-5978-7510 　E-mail: