2008年4月16日、IPAセキュリティセンターを騙り、マルウェア(*2)の仕掛けられたファイルが添付された「なりすましメール」が出回ったことを確認し、IPAでは「重要なお知らせ」として注意喚起を行いました。
　これは、アプリケーションの脆弱性とソーシャル・エンジニアリングを巧みに利用した標的型攻撃であり、このような場合、メールの受信者が受信したメールから攻撃の存在を推測することは非常に困難であるため、事前の対策および脅威の可視化が重要です。
今回公開した「ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策」（全8ページ）は、このケースと同様の攻撃への対策を促進するため、攻撃の概要、分析結果、対策等をまとめたものです。

前述のIPA セキュリティセンターを騙った「なりすましメール」の特徴は以下の通りです。
① メールの受信者が興味を持つと思われる件名
② 送信者のメールアドレスが信頼できそうな組織のアドレス
③ 件名に関わる本文
④ 本文の内容に合った添付ファイル名
⑤ 添付ファイルがワープロ文書やPDF ファイルなど
⑥ ②に対応した組織名や個人名などを含む署名

4.1. エンドユーザー向けの対策
A) 最新版ソフトウェアの利用
攻撃に利用されているAdobe Reader の脆弱性は、2008 年2 月に報告されたものであ
り、既にベンダーから脆弱性の修正されたバージョンが公開されています。この脆弱
性を修正するため、ソフトウェアを最新版にアップデートしてください。最新版の
Adobe Reader は、以下のURL より入手することができます。
http://get.adobe.com/jp/reader/
B) ハードウェアDEP の利用
Microsoft Windows XP SP2 以降では、ハードウェアDEP (Data Execution
Prevention) と呼ばれるセキュリティ機構がOS に搭載されています。ハードウェア
DEP を利用するためには、OS、およびコンピューターに搭載されているプロセッサの
両方がこれに対応している必要があります。ハードウェアDEPが利用可能な環境では、
これを利用することで、本攻撃において利用されたメモリ破壊に起因する脆弱性によ
るコード実行の多くを防止すること可能です。ハードウェアDEP の詳細については、
以下のURL を参照ください。
http://support.microsoft.com/kb/884515/ja
C) 不要な機能の無効化
本攻撃は、Adobe Reader のJavaScript エンジンに実装されている特定の関数の脆弱
性を利用しています。そのため、Adobe Reader においてJavaScript サポートが必要
ない場合は、設定から機能を無効化してください（図4）。

B) 認証付きHTTP Proxy サーバーの導入
認証付きのHTTP Proxy サーバーを導入することで、本マルウェアとインターネット
上に存在する攻撃者用制御サーバーの通信を防止することが可能です。認証付きHTTP
Proxy サーバーを導入した場合、インターネット利用時に、ユーザーによるパスワード
等の認証情報の入力を強制することができます。本マルウェアは攻撃者用制御サーバ
ーからコマンドを受信して動作を行うため、これにより脅威を低減することが可能で
す(図6)。
しかし、技術的には、認証付きHTTP Proxy による対策を回避することも可能なため
過信は禁物です。