Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

CSVファイルはメモ帳で開こう

APT10が関与すると疑われるフィッシング攻撃は、フィッシングメールの添付ファイルは誰かが開いてしまうのが当たり前と考えるべきだとの認識を強くさせます。

www.security-next.com

 

中国の関与が指摘されるサイバー攻撃グループ「APT10」のあらたな活動が観測された。従来見られなかったダウンローダーを攻撃に用いていたという。

「APT10」は、「menuPass」「StonePanda」「Red Apollo」「CVNX」「POTASSIUM」「ChessMaster」などといった別名でも知られる攻撃グループ。国内を標的とした攻撃では、CSVファイル」を用いた攻撃なども観測されている。

(Security Next記事より引用)

 

◆キタきつねの所感

国が関与すると見なされるハッカー集団(※APT10は中国政府が関与していると言われています)ですから、ホワイトの分析側が特徴としていて把握している部分は当然の様に認識しており、違ったパターンの攻撃を試行するのは当然と言えるかも知れません。

 

しかし気になるのが、CSVファイルですね。ついにそこまで攻撃が・・という思いがありますが、マクロなどが入り込みずらい(と誰もが思っている)CSVファイルの特徴、つまり人の脆弱性をうまう突いた攻撃と言えるかも知れません。

www.security-next.com

 

CSVファイルだから安全だ、とフィッシングメールを受けた人が油断してクリックしてしまうと、エクセル起動に合わせて悪意があるコードが意図せずダウンロードされてしまうという攻撃の様ですが・・・よく考えられています。

 

この点だけならば、利便性を犠牲にすれば各端末の設定で防げなくはありません。例えばCSVファイルをメモ帳を開くアプリケーションとして紐づけておけば、異常なファイルになっている事がメモ帳に出てくるテキストですぐ把握できますCSVファイルを用いた攻撃は、CSVファイルがメモ帳ではなく、標準的にはExcelと紐づく事を想定して偽装ファイル(悪意のあるコード含む)が添付ファイルとして飛んでくる事に特徴があるのだとすれば、この対処は(私にとっては)そう難しくはありません。

※似た様な考え方でメール本文の表示をHTML形式ではなく、テキスト形式にした方が諸々のひっかけ部分に気づきやすいかと思います。

 

しかし多くの従業員の端末1台1台にこの設定をするというのは恐らく、無理です。なので攻撃はどこかで成立してしまうと考え方を変える必要があるかと思います。

 

CSVファイルは日本でも多くのユーザが使っているので、警戒すべき攻撃ですが、(防御は失敗して)誰かが感染してしまう率が高いとして、意識を強く持つ必要があるかも知れません。

 

 

参考:APT攻撃グループ(FireEye)の詳細

APT10 別名:Menupass Team

関与が疑われる国家/組織:中国

標的とされる業種:米国、ヨーロッパ、日本の建設/エンジニアリング、航空宇宙、通信業界の企業と官公庁

概要:APT10は、FireEyeが2009年から追跡している中国のサイバー・スパイ・グループです。これまでに、米国、ヨーロッパ、日本の建設/エンジニアリング、航空宇宙、通信業界の企業と官公庁を攻撃しています。これらの業種を標的にした同グループの活動は、中国の国家安全保障上の目的達成(重要な軍事情報や秘密情報の入手、中国企業にとって有益なビジネス上の機密情報の窃取など)を支援するために実施されていると、FireEyeでは考えています。

 

 

 

 

 

f:id:foxcafelate:20190601093621p:plain

 

更新履歴

  • 2019年6月1日AM(予約投稿)