GRETECHが提供する動画再生ソフト「GOM Player」の正規のアップデート機能を悪用してユーザーをマルウェアに感染させる標的型攻撃が、少し前に話題になりましたよね。ご存じでしたでしょうか。

実際にアップデートした方の中には、余計なソフトウェアがインストールされたり、それから以降、ＰＣが不安定になったなんて方もいらしたようです。

実は同様の被害も多く報告がなされているようで、標的型攻撃は、増加傾向にあるようですね。

そこで今回は、標的型攻撃を中心とした話題でお話を進めることにしましょう。

photo credit: crises_crs via photopin cc

そもそも標的型攻撃ってなんでしょう

標的型攻撃（targeted threat）とは、特定の個人や組織、組織内情報をターゲットとしたサイバー攻撃をいいます。中には企業内の特定情報や、国家レベルの機密情報の搾取を目的として実行される攻撃も少なくありません。

標的型攻撃は、サーバーのアカウントを乗っ取るとともに、内部のプログラムやデータの改竄、ウイルス感染、遠隔操作などさまざまな手法を用いることで、ターゲットから情報を引き出したり、マルウエアなどを仕掛けたりします。

また、ターゲットがあらかじめ絞られていることから、あらゆる手段によって攻撃を仕掛けようとします。

たとえば、ターゲット企業に対して「セキュリティ対策ソフトウェア」と称して、メールならびに添付ファイルを送りつけます。これを受信した人間の中には、添付ファイルを開いてしまうユーザもいることでしょう。添付ファイルには、マルウエアなどが組み込まれており、これによって企業ネットワーク内部に、悪意あるプログラムが仕掛けられることになります。

そしてこの悪意あるプログラムが、ある条件下において機能し、情報を漏洩させたりするわけです。

今回の標的型攻撃として考えられる方法

 「GOM Player」の正規のアップデート機能を悪用してユーザーをマルウェアに感染させる方法については、正確なアナウンスはありませんが、考えられる手法はいくつか存在します。

まずは、正規サイトが何らかの攻撃によって改竄されていた可能性です。正規サイトの内容が改竄されていれば、ユーザがアップデート機能を利用しようとした際に、同時に悪意あるサイトへと誘導して、マルウエアなどを仕掛けることは可能となります。

また、改竄がなされていない場合でも、場合によっては標的型攻撃をしかける策はあります。

それは、通信経路自体の改竄です。正規のアップデート機能を使うために、ユーザがアクセスをした段階において、通信経路自体を改竄し、別アドレス先へと誘導する方法です。つまり、目的地が直進である場合でも、「そこを左」と改竄することで、本来とは異なる目的地へとアクセスを誘導し、ここで悪意あるプログラムをアクセスユーザ環境に仕込むわけです。

これらは、ユーザが事前にリスクを認識することはできません。このため、多くのアクセスユーザ環境内に、悪意あるマルウェアが仕掛けられてしまったわけです。

マルウェアってなに？

 これまでさらっと書いてしまいましたが、マルウェアとは何でしょうか。

マルウェア（malware）とは、コンピュータウイルスやワーム、スパイウェアなど、悪意あるソフトウェアの総称です。ちなみにマルウェアの「mal-」には「悪の」という意味合いがあります。これとソフトウェアを組み合わせた「悪のソフトウェア」という意味が、この造語には込められているわけです。

なお、マルウェアに感染すると、遠隔地にある特定のコンピュータに対して攻撃を仕掛けたり、他のコンピュータへの感染を促し情報を抜き出したり、さらには、ＰＣやサーバー環境内の情報を破壊したりすることが可能となります。

いずれにしても、マルウェアの感染は、特に企業においては、十分に注意をはらう必要性があります。