TrendLabs(トレンドラボ)」は、20115月中旬、「個人のWebメールアカウントを悪用する」という標的型攻撃を確認。この攻撃では、Microsoft の無料Webメール「Hotmail」の脆弱性(この攻撃が確認された当時、脆弱性は未修正)を利用しており、ユーザが自身のHotmailアカウントに受信した特定のメールをプレビューで閲覧しようとすると、不正なJavaScriptが自動的に実行されてしまい、最終的には、情報漏えいのリスクにさらされることとなります。

この脅威は、どのようにしてコンピュータに侵入しますか?

ユーザは、自身のHotmailアカウント内で特別な細工が施された中国語のメールを受信します。このメールには、「見知らぬ場所からFacebookにログインしたことはありますか」という件名と共に、「これまでに使用したことのない場所からアクセスされています。あなたのアカウントが乗っ取られないよう、セキュリティ対策として、一時的にあなたのアカウントをロックしました。」というメッセージが記されており、使用言語やメッセージ内容から特定のユーザを標的にした攻撃であることが分かります。

またこのメールには、不正なスクリプトも組み込まれており、トレンドマイクロでは「HTML_AGENT.SMJ」として検出。この不正なスクリプトにより、ユーザは、以下のWebサイトに誘導され、そこからさらに「JS_AGENT.SMJ」として検出される不正なJavaScriptがダウンロードされることとなります。

・ http://www.<省略>eofpublic.com/Microsoft.MSN.hotmail/mail/rdm/rdm.asp?a=<ユーザ名><数値>


1:受信トレイに表示されたメールの例 

JS_AGENT.SMJ」はどのような動作を行ないますか?

JS_AGENT.SMJ」は、ダウンロードされたコンピュータ内からメールアドレスのリストやその他の利用できそうなEメール・メッセージ等を収集します。収集された情報は、特定のメールアドレスへと送信されます。また、このマルウェアは、感染したコンピュータのユーザが閲覧したEメールの数もカウントして特定のURLへと送信します。

この攻撃では、どのように脆弱性が利用されるのですか?

この攻撃では、「Hotmail のスクリプトまたは CSSフィルタリング機能の不具合(CVE-2011-1252)」を利用しています。このHotmailのフィルタリング機能の脆弱性を利用すると、CSSパラメータに特定の文字を組み込み、このスクリプトを2つの行に分け、WebブラウザのCSSエンジンで正確に読み込まれることになります。サイバー犯罪者は、このように脆弱性を悪用し、Hotmail のログインセッションで任意のコマンドを実行することが可能になります。なお、Microsoft は既にこの脆弱性を認識し、対応済みとなっています。

この攻撃が「標的型攻撃」だといえる理由は何でしょうか?

この攻撃で使用されているURLから標的型攻撃であることが分かります。URL には<ユーザのアカウント名>と<数値>が含まれており、<ユーザのアカウント名>にはメール受信者の「Hotmail ID」、<数値>には、攻撃者が設定した数値が用いられています。この数値によって、どのような不正活動が実行されるかが決定されます。また、用いられる数値のうち、特定の数値では、情報収集活動が実行されることを確認しています。

この攻撃は、どのような影響をユーザに与えますか?

今回の攻撃で、従業員が職場で個人用のWebメールを使用することによって起こりうる企業への危険性が浮き彫りになりました。この攻撃により収集された情報は、スパム活動やフィッシング活動など、他の不正活動に利用されることにもなります。また、サイバー犯罪者に収集される情報は、社員の個人情報に限らず、企業の機密情報にまでおよぶ可能性もあります。こうして収集された各種情報は、アンダーグランド・フォーラムで売買されたり、より巧妙な標的型攻撃に利用されたりします。

この攻撃が、Noteworthy(要注意)に分類される理由は何ですか?

Eメールを利用した攻撃の中でも、「これまで以上に巧妙な手口」が用いられている点が理由となります。従来の手口では、Eメールに不正なファイルの添付を施したり、マルウェアがダウンロードされる不正なリンクを本文中に挿入したりといった手法が用いられてきました。しかし今回は、「ユーザが特別に細工されたメールをプレビューで閲覧するだけでマルウェアに感染してしまう」という巧妙な手口が用いられています。

さらに(この攻撃が確認された時点で)未対応であった脆弱性を利用した点や、Facebookの話題に便乗するといったソーシャルエンジニアリングの手口も、理由としてあげることができます。そして最後に、「プレビューでの閲覧以外、ユーザがほとんど何をしなくても感染してしまう」という点も、今回の攻撃を要注意に分類すべき理由としてあげるべきでしょう。

トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「Eメールレピュテーション」技術により、スパムメールがユーザのメールボックスに届くのを未然に防ぎます。また、「Webレピュテーション」技術は、スパムメールから誘導されたり、マルウェアがダウンロードされてくるような不正なサイトへのアクセスを未然にブロックします。さらに「ファイルレピュテーション」技術は、万が一、ユーザのコンピュータに不正なファイルが侵入しても、直ちに検知してファイルが実行されるのを未然に防ぐことができます。

ユーザは、常にコンピュータを最新に保つように心がけてください。また、企業としては、職場での個人のWebメールを使用する際に関して厳密なセキュリティポリシーを設けることをお勧めします。そして、企業や個人が、どのように自身のコンピュータや情報を脅威から守るのかといった知識を高めるために、最新の脅威傾向を把握することも重要な対策となります。

Microsoft によると、今回の脅威の解決は、同社の方針「協調的な脆弱性の公開 (Coordinated Vulnerability Disclosure)」に基づき、ユーザを守るためにトレンドマイクロと共に取り組み続けてきた結果であると述べています。

スレッド・レスポンス・エンジニア Karl Dominguezは、以下のようにコメントしています。

「クロスサイトスクリプティング(CSS)に対する最も効果的な対策は、やはりWeb開発者がスクリプトの脆弱性を取り除くことです。ユーザ側では、「スクリプトを無効にする」、「ファイアウォールを使用する」、「ブラウザのCSSフィルタを有効にする」といった対策でリスクを最小限に抑えることができます。また、Eメールの本文やWebサイトに含まれるリンクのクリックを防ぐために、直接ブラウザのアドレスバーにWebサイトのアドレスを入力したり、ブックマークを用いることもCSS攻撃を対処する有効な手段です」

関連マルウェア