インフラセキュリティの処方箋

第12回 標的型攻撃で使われる道具の「一部」無効化 ~実行ファイルを「実行できない」ようにする~

この記事を読むのに必要な時間:およそ 3 分

いわゆるマルウェアについて,実行ファイルとわかっていて実行するのは論外ですが,実行ファイル以外のデータと誤認させるような細工がされていると,なかなか気付きづらいというのが実情かと思います。今回は,そんな実行ファイルを誤って実行することがないようにするような,ちょっとした小技を2つほど紹介します。

標的型攻撃相次ぐ ~入口の1つはメール添付の「文書」ファイル

最近,日本年金機構をはじめとする多くの組織で標的型攻撃が確認されています。これまでも(標的型攻撃に限らず)⁠メールに添付されていた『文書』ファイルを開いたらマルウェアに感染した」という話が複数の攻撃事例で確認されています。

「怪しいメールは開かない」は現実的か?

攻撃側がそのメールを送る最初の目的は,なんとかして攻撃を仕掛けた先の誰かが「攻撃側が望む形でファイルを開かせる」ことにあります。そして,攻撃側がメールなりを信用させるためには,当該メールの文面なり添付ファイルのタイトルなりを自然に見せようとします。経験上,このようなメールについてくる(もしくはこのようなメールについてくるURLの先にあるファイル)は,以下のパターンを持ちます。

  1. 単純な実行ファイル
  2. 文書ファイルを模した実行ファイル
  3. 悪意あるマクロを含んだ文書ファイル
  4. 脆弱性を突くように細工された文書ファイル

もちろん,攻撃側はあの手この手でファイルを開かせようとするのですが,開いた先にあるのは多くの場合は「攻撃者が準備したコンピュータに対して何らかのデータを送信させる」という挙動です。通信そのものをさせなければいいという考え方もあるのですが,それ以前に「虚を突いたファイルを開かないようにする」という考え方もあります。

4つのアプローチのうち2つに対抗する ~実行ファイルをなんとかする

すでに述べた,攻撃側が送付してくるファイルが持つパターンのうち,3.は(例えば)Microsoft Officeアプリケーションを使う場合には何らかの形で警告が出ます(ただし,一度有効にしてしまうと,そのファイルについてはマクロ関連の警告は出力されなくなります)⁠4.はゼロデイ脆弱性を使われない限りは,最新のパッチなりを適用しておけば防げる類のものです。それでは1.や2.についてはどうすればいいでしょうか。

なんとかする前に ~攻撃側が送付するファイルはどのように見えるのかの例

ここからは,筆者のところに届いたメールの1つに添付されていた「PDFっぽく見えるファイル」を例に取って説明します。

攻撃側が送付してくるファイルのうち,1.や2.に合致する特徴を持つファイルは,Windowsの初期設定のままだとExplorer画面からは図1のように見えます。⁠fax_info⁠という名前がついており,PDFを示すアイコンが表示されているファイルがありますが,これ実は実行ファイルです。sampleという名前がついているファイルは,筆者が試しに作成した(サイズ0の)sample.pdfというファイルですが,こちらはデータファイル(但し中身はない)になります。

図1 アイコン表示

図1 アイコン表示

ちなみに当該ファイルのプロパティを見ると図2のように見えますし,cmd.exeからdirコマンドなどで見ると図3のように見えるので明らかに実行ファイルとわかるのですが,いちいちこんなことをやって確認する人はいないでしょう。

図2 プロパティ表示

図2 プロパティ表示

図3 dirコマンド結果

図3 dirコマンド結果

著者プロフィール

宮本久仁男(みやもとくにお)

某SIerに勤務してます。技術分野で語るならば,最近は仮想マシンとかあれこれやってますが,別に仮想マシンに限らずVPNとかも前からやってますし,要は「Virtual~」って好きなんですね(笑)。でも,Virtual~だけじゃなくって,Realも好きですし,ネットワークも大好きです。自分で思考を巡らしたり検証したり,というのが好き。もちろん他の人に迷惑はかけない範囲で,ですが。

URLhttp://d.hatena.ne.jp/wakatono/

著書

コメント

コメントの記入