違和感のないサイバー攻撃メールにするため使われる単語（IPA）

IPAは、2016年4月～6月の四半期における「サイバー情報共有イニシアティブ（J-CSIP）運用状況」を公開した。

脆弱性と脅威脅威動向

14 views

2016.8.1 Mon 8:00

独立行政法人情報処理推進機構（IPA）は7月29日、2016年4月～6月の四半期における「サイバー情報共有イニシアティブ（J-CSIP）運用状況」を公開した。同四半期、J-CSIP参加組織（7つのSIG、全72参加組織）からIPAに対し、標的型攻撃メールと思われる不審なメール等の情報提供が1,818件（前四半期は177件）行われ、その情報をもとにIPAからJ-CSIP参加組織へ33件（同39件）の情報共有が実施された。

情報提供のあった1,818件のうち、1,584件が日本語のばらまき型メールの情報共有であった。これは件名や本文に日本語を使用し、国内の一般利用者を攻撃対象に広く大量に送信されているウイルスメール。宅配事業が使用するメールと同じ件名を使用したり、「残高」「ご確認お願いいたします」「状況一覧表」「製造依頼」など違和感のない日本語のメールも多数観測された。メールの題材や文章は変化を続け、受信者に添付ファイルを開かせようと巧妙化している。添付ファイルは、ランサムウェアやオンラインバンキングの情報窃取を行うウイルスに感染する可能性がある。

同四半期、標的型攻撃メールとみなした情報は35件であった。注意を要する特徴については、zip形式の圧縮ファイルの中に「パスワードが設定されたrar形式の圧縮ファイル」と、「解凍パスワードが記載されたテキストファイル」が入っているものを複数観測したという。これはウイルス対策の検知を回避するための工夫とみている。また、有名なオンラインストレージサービスに似たドメイン名を使ったURLの記載や、本文中に「ぼかし」効果を施した画像ファイルを挿入し、これを確認するためにマクロ機能を有効にさせようとするケースもみられたという。

《吉澤亨史（ Kouji Yoshizawa ）》