ネットワークセキュリティ技術の米国 Check Point Software Technologies は、同社の「Threat Emulation Software Blade」が最新のフィッシングとボット攻撃を検出した、と14日に発表した。

今回検出されたのは、グローバルな大規模企業数社の社員に対し、CVE-2012-0158 の脆弱性を悪用するマルウェアの亜種を電子メールで送り付ける攻撃。Threat Emulation Software Blade は、サンドボックスを利用した新たな脅威エミュレーション技術で、ウイルスシグネチャが公開される前の段階で攻撃を検出した。

この攻撃は、シティバンク(Citibank)やバンクオブアメリカ(Bank of America)を装ったフィッシングメールを標的に送信するところから始まる。電子メールには、「Merchant Statement」(取引明細)などの件名が付けられ、本文には添付の Microsoft Word ファイルを開くように書かれている。

しかしこのファイルを開くと、取引明細が表示される代わりに、ファイルに埋め込まれたマルウェアが自動実行され、コンピュータがマルウェアに感染、大規模なボットネットに組み込まれる。

コンピュータに感染したマルウェアはネットワークポートを開いて指令サーバーと通信できるようにし、ログイン ID やパスワードなどの認証情報を盗み出す。最大の特徴は、自己拡散型のスパムボットとして指令サーバーから命令を受け取り、新たな標的に不正メールを送信することだそうだ。

Check Point の製品担当 VP である Dorit Dor 氏は、以下のようにコメントしている。

「サイバー犯罪者は次々と新たな攻撃を仕掛けてきており、1日あたりに出現するマルウェアの新亜種は数千種類にも上る。こうした未知の脅威に対抗するには、従来のアンチウイルスソリューションでは十分ではない。

そこで重要となるのが、エミュレーション技術を含む多層防御セキュリティソリューションを導入して、未知の攻撃や既存マルウェアの亜種を検出、対処できる体制を整えることだ。Check Point のサンドボックス技術は、新たな攻撃が発生してからアンチウイルスのシグネチャが提供されるまでの隙間を埋める、効果的な脅威対策だ」

米チェックポイントのサンドボックスを使った脅威エミュレーションブレード、未知の攻撃を検出
Check Point トップページ