PDF文書ウイルス付きメールで三菱重工業を襲う？標的型サイバー攻撃APT

PDF文書ウイルス付きメールで三菱重工業を襲う？標的型サイバー攻撃APT

先週にニュースになってました、防衛産業メーカーの1つ三菱重工業などの国内企業の社内パソコンを狙いウイルス感染による標的型サーバー攻撃のお話です。

三菱重工業は80台ほどのパソコンやサーバーにウイルスが感染し、幸いにも重要な情報の流出はなかったみたいだけど怖いですな。

セキュリティ会社トレンドマイクロによれば、PDF文書が添付されたEメールを送りつける手口だったそうです。

■ Japan, US Defense Industries Among Targeted Entities in Latest Attack （Trend Micro）
http://blog.trendmicro.com/japan-us-defense-industries-among-targeted-entities-in-latest-attack/

このPDF文書ファイルが食わせ者で、無料PDF閲覧ソフト Adobe Reader や無料ブラウザアドオン Adobe Flash Player に存在する脆弱性（CVE-2011-0611）を悪用し、単にPDF文書を開くだけでバックドアウイルスを裏で投下させたそう。

電子メールに添付された Microsoft Word（.doc）または Microsoft Excel（.xls）のファイルに埋め込まれている Flash ファイル（.swf）を経由して、Windows プラットフォームを対象として脆弱性の悪用事例が報告されているのと同様に、Adobe Flash Player、Adobe Reader、Acrobat を対象として、この脆弱性の 1 つ（CVE-2011-0611）が広く悪用されているという報告を受けています。

■ APSB11-08: Adobe Reader および Acrobat に関するセキュリティアップデート公開
https://helpx.adobe.com/jp/acrobat/kb/cpsid_90054.html

■ APSB11-07: Flash Player 用セキュリティアップデート公開
https://helpx.adobe.com/jp/x-productkb/multi/cpsid_89964.html

一般ユーザーに広くバラ撒かれるウイルスメールと違って、特定の団体や企業だけを狙ったウイルス／マルウェアはセキュリティソフトが必ずしも役に立たない感じ？

攻撃する側もセキュリティソフトに検出されないよう特別製な新種ウイルスを用意するはずだし、セキュリティ会社の元にウイルスメールが届くこともないからファイル検体を入手しようもないワケです。

■ これが標的型攻撃の実態だ（＠IT）
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/034.html

標的型サーバー攻撃で不正な文書ファイルを開かせてウイルス感染させる場合、下のようなソフトの脆弱性が狙われるそう。

■ 最近の標的型メール攻撃の検知状況（IBM Tokyo SOC Report）
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/targeted_attack_20110927?lang=ja_jp