今週初めに Mandiant 社から公開された「APT1: Exposing One of China's Cyber Espionage Units」と題するレポートは、セキュリティ業界のみならず一般世間においても世界中から注目を浴びています。特に関心が集まっているのは、Comment Crew と呼ばれる特定の攻撃者グループが APT(Advanced Persistent Threat)を使って実行している標的型攻撃の発信元について、このレポートが導き出している結論です。レポートの内容に関するシマンテックの対応については、前回のブログでご紹介しました。
そして、本日、何者かがこのレポートを餌にして、その内容に関心を持つユーザーへの感染を目的に標的型攻撃を実行していることが確認されました。シマンテックが発見した電子メールは日本語で書かれていますが、だからと言って、出回っているのが日本語の電子メールだけとは限りません。この電子メールは、レポートを推奨するメディアを騙って送信されています。図 1 に示したとおり、添付ファイルを本物のレポートらしく見せるために、PDF ファイルのアイコンと、Mandiant 社の名前がファイル名に使われています。しかし、多くの標的型攻撃と同様、この電子メールの送信には無料のメールアカウントが使われており、本文の日本語も不自然です。普通の日本人であれば、この文面を見ただけで、日本人が書いたものではないことに気づくでしょう。
偽のレポートファイル(シマンテックは Trojan.Pidiefとして検出します)を開くと、空の PDF ファイルが表示されますが、バックグラウンドでは Adobe Acrobat と Adobe Reader に存在するリモートコード実行の脆弱性(CVE-2013-0641)を悪用したコードが実行されています。脆弱性の悪用に成功すると、この PDF ファイルは Trojan.Swaylibおよび Trojan.Dropperを投下する可能性があり、これらはさらに Downloaderを投下します。はたしてこれは、報道に対して Comment Crew が示した単なる悪ふざけなのでしょうか。それとも、多くの標的型攻撃でありがちなように、別の何者かが攻撃を実行するときに、またしてもうっかりミスを犯しただけなのでしょうか。真相は定かではありません。
図 1.レポートが添付されていると称する悪質な電子メール
類似の手口は過去にもあり、そのときは不敵にもシマンテックの名前を騙っていました。2011 年に、シマンテックが別の標的型攻撃の実行グループに関するホワイトペーパーを発表したとき、攻撃者はそのホワイトペーパーを逆手にとって、興味を示したユーザーへの感染を試みています。しかも、標的に送られてくるスパムには、本物のホワイトペーパーが添付され、その圧縮ファイルに隠してマルウェアが仕込まれていました。
Mandiant 社のレポートに限らず、なにか正規のコンテンツを入手したい場合は、該当する正規の Web サイトから直接ダウンロードしてください。Mandiant 社のダウンロードページには、ファイルが正規のものであることを確認できるように、ファイルのハッシュ値も示されています。どこから入手したファイルか心許ない場合には、ファイルのハッシュ値を確認することもお勧めします。
更新 - 2013/2/22
当初、このブログでは、PDF ファイルは何もマルウェアを投下しなかったと説明しましたが、さらに詳しく調査した結果、一部の環境下ではマルウェアが投下されることがわかりましたので、この結果に基づいてブログの内容を更新しました。
また、この悪質な偽のレポートには複数の亜種が存在することも確認しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。