Windowsのショートカットを模擬のマルウェアファイルとして使う
日経コンピュータの記事「ショートカットに気をつけろ!進化する標的型攻撃の脅威」で紹介されているように、標的型攻撃メールのパターンとして、Windowsのショートカットファイルを添付ファイルに含め、それがクリックされることで、マルウェアに感染させるという手法があります。
Windwosのショートカットファイルを使う利点は、画面上に拡張子が表示されないため、例えば「memo.txt」のように、普通のファイルであるかのように見せかけることができる点にあります。また、以下のような利点があるため、exe実行ファイルを添付する方式と同様、攻撃者側にとっては使いやすい手法と言えます。
- IconChangerなどのソフトウェアを使わなくとも、アイコンを自由に設定することができる
- マルウェア本体を添付しないでよいので、セキュリティ対策ソフトに検知されないで済む
ショートカットファイルを使う場合の模擬訓練実施の仕組み
[auth]ショートカットファイルを訓練メールに添付する場合、ショートカットファイルとは別に、本体となる模擬のマルウェアファイルを作る必要があります。模擬のマルウェアプログラム自体をショートカットにすることはできないので、ショートカットファイルは、外部に設置した模擬のマルウェアプログラムをパソコン上にダウンロードさせるための小さなプログラムとして機能することになります。
何故このような面倒なことをするのか?というと、ショートカットファイルに設定できる文字列は255文字までという制限があるためです。これ以上の長さの文字列は設定できないので、複雑なプログラムなど到底書くことができないというわけです。
しかし、逆に言えば、255文字までなら自由にプログラムを書けるということになるので、ここに、マルウェアプログラム本体をダウンロードするプログラムを書くことで、ショートカットファイルがクリックされたら、マルウェアプログラム本体をダウンロードするプログラムが実行され、本体となるマルウェアプログラムのダウンロードが完了したら、それを実行することで、マルウェアに感染してしまう。というのが、Windowsのショートカットファイルを利用した攻撃の仕組みになります。
といっても、ショートカットファイル自体には、本体となるマルウェアプログラムをダウンロードして実行させるまでの一連の処理は記述しきれないので、この処理を行うためのプログラムをダウンロードして実行するという処理を行わせることになります。
小さなプログラムの実行から始まって、段々と大きなプログラムを実行させていく流れは、例えて言うなら「わらしべ長者」のようです。攻撃者はこのような攻撃方法を思いつくのですから恐ろしいものです。私たちは、相当に頭の良い人物達を相手にしているのだということを再認識すべきでしょう。
なお、ショートカットファイルを利用した訓練を実施するには、本体となるマルウェアプログラムを配置するWebサーバーが必要になります。Webサーバーがない、もしくは、アクセスできない環境では、この手法を使うことができません。
外部のWebサーバーにアクセスできないような環境では、ショートカットファイルが実行されてもマルウェアプログラムをダウンロードすることができず、攻撃を成功させることができませんので、そのような社内ネットワーク環境を構築することは、こうした攻撃への対策となります。
ショートカットファイルを使った攻撃が多くないのは、このような制限があるためですが、会社によっては、自分の会社のサイトには自由にアクセスができるようになっているといったケースもあるかと思います。このようなケースでは、会社のサイトを乗っ取って改竄し、ショートカットファイルを使った攻撃と組み合わせることで、攻撃を成功させることが可能になります。
標的型攻撃の手口は単独とは限りません。一つ一つに対しては対策が取られていたとしても、複数の手口を組み合わせた合わせ技で攻撃を成功させることができてしまうということもあります。セキュリティ対策を行うにあたっては、合わせ技で攻撃されるケースも想定に組み入れて行うことが必要だということがおわかりいただけるかと思います。
模擬訓練で使用するショートカットファイルの作り方
ショートカットファイルを使った攻撃の仕組みについては前述のとおりですが、具体的にどのようなショートカットファイルを作成すればよいのか?については、残念ながら、ここでは記述することができません。攻撃する側の人達には広く知られていることなので、攻撃を受ける側も、その具体的な手口を知って、防御に努めるべきではありますが、具体的な手法を公開することで、愉快犯などを生み出すようなことは本意ではないので、ここではあえて概要の説明のみに留めることとします。
なお、「標的型攻撃メール対応訓練実施キット」では、具体的な手法について解説した手引書と、プログラムを埋め込んだショートカットファイルを作成するためのツールが同梱されていますので、キットをご利用いただければ、ショートカットファイルを使った模擬訓練を実施することが可能なようになっています。
→次の記事へ( URLリンクをメール本文に記載して訓練を実施する )