メモ

宮田　セキュリティのアレ、第41回は、2016年10月下旬に出回ったICT-ISACを騙（かた）る偽メールを取り上げます。件名などに“総務省”の名前も使いながら、ランサムウェアに感染させようとするものでしたが、どこにポイントがあったのでしょうか？
辻氏　幾つかありますが、1つは添付ファイルの形式です。「.js」形式のファイルなどを添付してランサムウェアをばらまくメールは珍しくありませんが、今回は、それ自体は無害な2つのPDFファイルが添付されていました。
　PDFの内容は、“マルウェア駆除プロジェクト”に関する説明と、そのためのツールの“インストールマニュアル”です。このマニュアル中のリンクがランサムウェアのダウンロードにつながるものでした。
根岸氏　PDFの中に「ACTIVE」という総務省の官民連携マルウェア対策プロジェクトに関する記述があったのも注目すべき点です。これは実際に存在するプロジェクトで、メディアで取り上げられたこともあるので、知っているユーザーもいたはずです。
　今回はICT-ISAC（Information Sharing and Analysis Center）を騙るものでしたが、金融ISACなど、各業界のISACでは実際にこういう注意喚起を行っています。本物との違いがあるとすれば、通常はプロバイダー経由でユーザーに連絡が行われ、ISACから直接連絡をすることはないということでしょうか。とはいえ、実際にあるプロジェクト、しかもマルウェア駆除を目的としたプロジェクトの名前を悪用してマルウェアに感染させようとするのは、非常に手の込んだ攻撃だと感じました。

「自社を騙るメールが出回っている……」――企業はどう“注意喚起”すべきか？：セキュリティのアレ（41） - ＠IT