「このファイルを確認のために転送しました。開いてご覧ください。」
EMCの不運な採用担当者に罠を仕掛けたExcelスプレッドシートを開かせるための策略としては、それほど高度なものではないかもしれない。しかし、F-Secureの研究者たちは、これが世界で最も尊敬されるコンピュータセキュリティ企業の一つに侵入するには十分であり、最終的にはロッキード・マーティン、L-3、ノースロップ・グラマンといった米国の大手防衛関連企業のセキュリティを脅かす複雑な攻撃の第一歩だったと考えている。
この電子メールは3月3日に送信され、RSAが史上最悪のセキュリティ侵害の一つでハッキングを受けたというニュースを公表した2日後の3月19日に、疑わしいメッセージをスキャンする無料サービスであるVirusTotalにアップロードされた。
月曜日にこのメッセージを発見したF-Secure社の研究者たちは、これがRSAへの侵入につながった可能性が高いと考えています。もしこれが事実であれば、この発見は、セキュリティ専門家がソーシャルエンジニアリングと呼ぶ、大手セキュリティ企業への侵入に用いられる巧妙な手口を浮き彫りにするでしょう。
F-Secureのマルウェア対策アナリスト、ティモ・ヒルヴォネン氏は、悪意のあるファイル、あるいは悪意のある可能性のあるファイルのクラウドソースデータベースに保存されている数百万件ものファイルの中に埋もれていた電子メールメッセージを発見しました。VirusTotalは、コンピュータユーザーが疑わしいファイル(例えば、感染の可能性があるExcelスプレッドシート)をアップロードすると、世界トップクラスの40社以上のアンチウイルス企業にスキャンを依頼できるサービスです。無料スキャンと引き換えに、アンチウイルス企業はファイルを検査できるため、このサービスは悪意のあるソフトウェアについて事後に学ぶための優れた手段となっています。
RSAが侵害を認めて以来、ヒルヴォネン氏はVirusTotalのデータベースでRSAの攻撃ファイルを探していた。ハッカーたちは2日間にわたり、RSAの従業員の小グループに2通のフィッシングメールを送っていたが、RSAとその親会社であるEMC以外には、それらのメッセージの全内容を知る者はいなかった。それらのメールがVirusTotalのデータに含まれているかどうかさえ不明だった。
RSA は攻撃に関する詳細をいくつか発表したが、ヒルボネン氏の発見は、EMC の従業員にその危険な添付ファイルを開かせるために何が必要だったのかを初めて明らかにするものとなった。
「このメールは巧妙に仕組まれており、従業員の一人が迷惑メールフォルダからメールを取り出し、添付されたExcelファイルを開くように仕向けていました」と、RSAの新技術責任者であるユリ・リブナー氏は4月1日のブログ記事で述べています。この投稿には、RSAがこのメールについて公に述べた内容のほとんどが記載されています。「添付されていたのは『2011年採用計画.xls』というタイトルのスプレッドシートでした」
ヒルヴォネンは、VirusTotalでそのメールが見つかるかどうか確信が持てなかったが、RSAの誰かがその内容を確認するためにアップロードした可能性はあると考えた。しかし、2011年の採用計画のスプレッドシートを検索しても何も見つからなかった。
しかし今月、ヒルボネン氏はVirus Totalの膨大なデータの中から針を見つけるためのデータ分析ツールを完成させた。彼の手法は、RSA攻撃で使用された可能性のあるFlashオブジェクト(Adobe Flash Playerで動作するように書かれたソフトウェア)をデータから探し出すというものだった。RSAは以前、ハッカーがAdobe Flashのバグを悪用したソフトウェアを使用したと発表し、攻撃に関する技術的な詳細をいくつか公開していた。
「見つけるのは大変でした」とヒルボネンは言った。「本当に苦労して見つけました。」
新しいツールを使って、ヒルヴォネンはすぐにMicrosoft Outlookの.msgファイルを発見した。ファイルを開くと、何かが見つかったと確信した。中には、求人サイトBeyond.comから送信されたように見せかけたメッセージが入っていた。「このファイルを確認のために転送しました。開いてご覧ください」と書かれていた。件名は「2011年度採用計画」。添付ファイルは「2011年度採用計画.xls」というExcelスプレッドシートだった。
詳しく調べたところ、ヒルヴォネンは、そのファイルがRSAの説明とあらゆる点で一致していることに気づきました。Excelファイルには同じFlash攻撃コードが含まれていました。また、同じリモートコントロールソフトウェア「Poison Ivy」を使用し、RSAの攻撃者と同じインターネットアドレスに接続しようとしていました。
メールはEMCの社員、恐らく人事部の社員宛てに送信され、送信元は[email protected]という、過去にEMCの求人情報を掲載したウェブサイトの一般的なアドレスのように見えました。しかし、ヒルヴォネン氏によると、これは偽装されたアドレスでした。実際には、メールはBeyond.comのサーバーから送信されたものではありません。
F-Secure は、これが RSA をターゲットにした 2 つのスピアフィッシング メールのうちの 1 つであると考えています。
RSAは以前、このハッキング事件を「極めて高度なサイバー攻撃」と表現していましたが、もしこれが侵入に使用されたメールだとすれば、これはこうしたサイバースパイ攻撃の基本原則を浮き彫りにしています。つまり、ハッカーは効果的なものなら何でも、たとえ単純なトリックであっても利用するということです。もし失敗しても、突破口を見つけるまで何度も何度も試みるのです。
セキュリティ専門家によれば、重要なのは攻撃者を見つけ出し、侵入した後はネットワーク内での移動を阻止することだという。
木曜日に連絡を取ったEMCのRSAセキュリティグループは、メッセージについて何も語ろうとしなかった。RSAは、ヒルボネン氏のメールと同社に侵入したメールに違いがあったかどうかについては言及しなかった。また、攻撃者が侵入したメールがヒルボネン氏のメールだったかどうかについても、断言しなかった。「これが実際のメールだと断言できますか?」とRSAの広報担当者ヘレン・ステファン氏は答えた。「いいえ」
NCCグループ傘下のセキュリティコンサルティング会社iSec Partnersのパートナー、アレックス・スタモス氏は、今回の攻撃がRSAのセキュリティを脅かすものだったとしても、他の攻撃ほど高度なものではなかったと述べた。「RSAにとって非常に恥ずべき事例だ」とスタモス氏は述べた。「セキュリティ企業を含め、ある程度の規模の企業であれば、必ずと言っていいほど愚かなことをする者がいるということを示している」
ロバート・マクミランは、IDGニュースサービスでコンピュータセキュリティとテクノロジー全般の最新ニュースを担当しています。Twitterで@bobmcmillanをフォローしてください。メールアドレスは[email protected]です。
