Java ベースのリモートアクセスツール(RAT)を使った攻撃も、もはや異例ではなくなりました。過去数年間で広がりを見せ、その後も企業と個人の両方を標的にし続けています。こういった攻撃がこれほど一般化したのも、特に驚くことではありません。RAT によってコンピュータへの感染に成功すると、攻撃者はそのコンピュータを完全に制御できるからです。それだけでなく、この攻撃は理論上、Java が稼働しているあらゆるコンピュータを標的にするので、オペレーティングシステムの種類も限定されません。ほんのいくつかの RAT のソースコードがオンラインで公然と共有されているおかげで、攻撃者は Java RAT を容易に利用することができます。
シマンテックは今月、Java RAT(JRAT)を拡散する新しいスパム攻撃を確認しました。攻撃が始まったのは 2014 年 2 月 13 日です。スパムメールの送信者は、支払い証明書を添付したと称して、その受信を確認するようユーザーに求めてきます。
図 1.新しい Java RAT 攻撃で使われているスパムメール
添付されているのは、実際には悪質な Paymentcert.jar という名前のファイル(Trojan.Maljavaとして検出されます)です。このトロイの木馬を実行すると、侵入先のコンピュータに JRAT(Backdoor.Jeetratとして検出されます)が投下されます。RAT は、Windows PC に限らず Linux、Mac OS X、FreeBSD、OpenBSD、さらには Solaris ベースのコンピュータにも感染します。この RAT は以前の標的型攻撃でも確認されており、新しいものではありません。次の画像に示すように、JRAT のビルダーを使うと、独自にカスタマイズした RAT を作成するのが、いかに簡単かわかります。
図 2. JRAT のビルダー
シマンテックの遠隔測定でこのドロッパーを調べたところ、今回の攻撃はアラブ首長国連邦と英国に特に集中しています。
図 3. 支払い証明書スパム活動の分布図(2014 年 2 月)
今回の攻撃は、特定の個人を標的にしていると考えられます。被害者数が少ないこと、ドロッパーがこの攻撃特有なものであること、コマンド & コントロール(C&C)サーバーが 1 つであること、そしてスパムメールの大部分が個人の電子メールアドレス宛てに送信されていることなど、いくつかの特徴から、これは標的型の性質があると断定できるようです。
図 4.シマンテックの遠隔測定で判明した、2014 年 2 月の攻撃による被害者数
迷惑メールや心当たりのない疑わしい電子メールを受信した場合は、十分に警戒することをお勧めします。電子メールの信憑性に疑問がある場合には、けっして返信せず、メッセージ中のリンクをクリックしたり添付ファイルを開いたりしないようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。