ITpro Success 「標的型メール」偽装の手口

ITpro Successで公開されている「怪しいメールが届いた、さあどうしよう!?『標的型メール』偽装の手口」の記事で、ご存じかもしれませんが、気を付けるべき点がありました。

添付ファイルに要注意

 ファイルが添付されている場合には、そのファイル形式に注意する。例えば、アイコンがWord文書で拡張子が一見「.docx」に思えても、よく見るとその後ろに空白(ブランク)が入っていて、一番最後に「.exe」と表示されているケースがある。これは間違いなく、Word文書に偽装した実行形式のウイルスだ。

 実際に文書ファイルであっても、Word文書(.doc)、Excel文書(.xls)、PDF(.pdf)などの場合には、これらを開くアプリケーションの脆弱性を突くウイルスの場合もあるので油断できない。

 また、通常はメールで送らないショートカットファイル(.lnk)を使う攻撃も確認されている。ショートカットファイルには、スクリプトを含められる▼ためだ。

 暗号化ファイルを添付しているメールに、そのパスワードが記載されているケースも警戒しよう。通常は、暗号化ファイルを添付したメールとパスワードを記載したメールは別々に送られるためだ。別々に送ることで、情報漏洩リスクの低減を狙う。一方攻撃者が同じメールで送るのは、暗号化だけが目的だからだ。暗号化して、ゲートウエイ型のウイルス対策製品を回避しようとする。一般的にゲートウエイ型の対策製品は、暗号化ファイルを検証できない▼。

▼スクリプトを含められる
通常は、ファイルやフォルダーのパスを記述する、ショートカットファイルの「リンク先」にスクリプトを仕込んでおけば、そのショートカットファイルをダブルクリックするだけで、その内容が実行される。つまり、ショートカットファイルには、実行形式ファイルと同様の危険性がある。例えば、攻撃者のWebサイトからウイルスをダウンロードおよび実行させるスクリプトが含まれている場合、ショートカットファイルをダブルクリックすると、ウイルスに感染してしまう。
▼検証できない
製品によっては、暗号化されていない情報から、ウイルスの有無を検証できる場合がある。

出典:ITpro Successで公開されている「怪しいメールが届いた、さあどうしよう!?『標的型メール』偽装の手口」

拡張子の後に空白があって.exeが付いているというのは見逃しそう。

スポンサーリンク
spdsk-side




spdsk-side