1
標的型サ
バー攻撃
事例分析
対策レポート
2
概要
2011 年 国内 大手 や衆議院 参議院 情報窃 型 標的型 攻撃
世間 注目 集 攻撃 標的型攻撃 送付さ
内部 侵入 活動 内部 情報 抜
う あ 例え 現実世界 産業型 国家型
ン 空間 活動 行 い 言え 日 国内 威 現実
事件 報道等 大 あ 新 い攻撃 象
攻撃手法 数年前 問題 海外 攻撃事例 複数報告さ い
標的型 攻撃 事例分析 課題 考察 標的型攻撃
分析 対応 標的型 攻撃 技術的対策 え 対策 新 い試 あ 情報共
い 紹
目
1.
標的型
攻撃
事例分析
考察
... 3
1.1.
大手
生
標的型攻撃
事例
... 3
1.2.
標的型
攻撃
課題
考察
... 5
2.
標的型攻撃
分析
対応
... 6
2.1.
標的型攻撃
分析
... 6
2.2.
標的型攻撃
対応
... 8
3.
標的型
攻撃
対
技術的対策
... 9
3.1.
... 9
3.2.
出口対策
... 12
4.
標的型
攻撃
対
IPA
組
... 13
4.1.
IPA
公開
対策情報
紹
... 13
4.2.
情報共
... 15
5.
付録
CVE-2011-0611
悪用
概要
... 17
5.1.
PDF-Exploit-m
流行情報
... 17
3
1.
標的型
攻撃
事例分析
考察
2011年 多 報道さ 大手 被害 標的型 攻撃 例
当 事件 単独 問題 捉え 前 対策 施 い 考
え い う 攻撃 対 後 更 深い分析 必要 対策立案 参
考 事案 い
1.1. 大手 生 標的型攻撃 事例
大手 生 標的型 攻撃 関 様々 報道 あ
報道情報 合わ 情報 足 い個所 先行事例 踏 え 一部推測 交え
攻撃 流 再構成 分析
大手 生 標的型 攻撃 い う 大 2段階 攻撃 行わ
事前攻撃活動
降 様々 標的型攻撃 各組織 確認さ い 中
社会的 事故 騙
信 組織 騙
関心 高い 題 騙
挙 回 事件 攻撃 端緒 あ 明確 い
い 組織 侵入 試 行わ 考え
う 攻撃 中 一 攻撃者 業界団体 盗 情報 使い
複数 企業 送 標的型攻撃 確認さ い 業界団体 職員 送付
規 約10時間後 標的型攻撃 悪用さ い
標的型攻撃メール を送付
4
件 標的型攻撃 使用さ Adobe Reader/Adobe Flash
弱性(CVE-2011-0611) 悪用 あ 2011年 修
公開さ 弱性 あ 攻撃 降 行わ あ 事前
IPA 公開 い MyJVN ン や 弱性対策情報
JVN iPedia 活用 対策 い 攻撃 回避 能性 高い 5.1節
参照 MyJVN ン 使わ 製品
ン 最新 あ 一括 確認 あ JVN iPedia
弱性対策情報 収集 公開 い あ
大手 狙 標的型攻撃 利用さ
い CVE-2011-0611 悪用 い 類似 解析 章
付録 紹 具体的 回避策等 記載 い 感染
外部通信 新 ン や 内情報 外部送信
情報漏洩 被害 生 推測さ
大手 攻撃
大手 内 い 標的型攻撃 添付さ
開封 い 感染 攻撃者 外部 通信 用
い 感染 端 制御 状態 推測さ
攻撃者 制御 う 端 攻撃者 操 指 通信
攻撃 行わ 推測さ
新 い ン
攻撃 見え い化
内部 散
情報 査
(i) (ii)
5
多数 報道 8種類 組織内 持 込 組織内 感染
PCや 11 事業 点 83 PC38 45
PCや 感染 PCや 内 情報や周 内部
ワ 情報 窃 あ 点 事務所 あ 集約さ 集
約さ 理由 考え 多 端 外部 指 集
中的 さ 一 点 指 さ う
覚 遅 能性 あ いう点 あ
あ 点 事務所 あ 米国 あ 集約さ 情報
送信 窃 さ
あ 異常 動作 件 覚
分析 大手 防衛 保護 情報
流出 確認さ 表 行わ い
1.2. 標的型 攻撃 課題 考察
前章 国内 初 威 現実 事例 明 報道さ
い 様々 標的型 攻撃 関 事件 事故事例等 踏 え い う
新 い 攻撃
1
備え い 課題 整理 標的型攻撃 組織 送
付 攻撃 進行 概 う 行わ
攻撃準備
攻撃対象組織や 狙う 弱い部分 事前調査
1
新 い 攻撃 海外等 一部APT(Advanced Persistent Threats) 呼
感染した端末 深部 サーバ へ侵入し 情報 を抜 取
抜 取った情報 を攻撃者 サー バへ送付す
6
事前攻撃活動
信 組織や個人 騙 妙 標的型攻撃 送付
特 情報窃 目的 業種や組織 執拗 攻撃
攻撃
添付 開封やURL 一 感染
普段使 い ン 弱性 含 悪用
い 多い
感染 外部 攻撃指 通信
増強 変身や 新 攻撃 ン
組織 内 潜伏 散 侵攻 索
機密情報や個人情報等 窃
外部 攻撃者 窃 情報 送出
威 特徴 あ
実 悪用や信 実組織 騙 攻撃 見分 困 あ
一般 環境 弱性 い 初期侵入
侵入 一時感染 後 組織 潜伏 外部 連携 隠密裏 時間
目標 情報 索 情報 窃
対 最終 大被害 あ 前 時点 攻撃 回避 検知
防御 遝断等 大 課題 あ 能 攻撃活動 流 回避
望 い ャ ン ン や人間 心理等 い 標的型攻
撃 対 回避 い 生 う う 踏 え 攻撃
対 検知 防御 遝断 技術的 対策
降 章 章 い 対 分析 対応 章 い ~ 対 技
術的 対策 明 章 事例 挙 う い 窃 悪用さ 場
合 含 ~ 対 対応 類似 攻撃 い 組織間 攻撃情報
共 早期 対応 対策 効 手段 考え 章
関 紹
2.
標的型攻撃
分析
対応
2
2.1. 標的型攻撃 分析
IPA 届出 あ 標的型攻撃 群 分析 概要 明
攻撃者 開 騙 駆使 い 攻撃者
開 使用 騙 主 3点 挙
2
7
1). 件 や 文 業務 関 あ や関心 抱 記載
2). 送信元 実 組織 偽装
3). 添付さ 常 見
3点 騙 い 明
1). 件 や 文 業務 関 あ や関心 抱 記載
2. 実際 標的型攻撃 使用さ 文面 一例 あ 秘 情報
あ や 時事 等 絡 い 2.1 件 無償化関連記事
2010年当時 送付さ 当時高等学校 無償化 繁 報
道さ い 時期 あ 年 東日 大震災 便乗 標的型 事例
報告さ い
2.1 官公庁 装 標的型 右 件 無償化 関連記事 標的型
2).送信元 実 組織 偽装
攻撃者 送信元 先 応 信 さ 組織 騙
8
2.2 標的型攻撃 送信元 詐称さ 送信元
3).添付さ 常 見
張子 偽装 常 見 う 手口 弱性 悪
用 手口 あ 後者 い 触 弱性
内 弱点 あ 弱性 来 想 い い
動作 起 さ 攻撃 使わ 例え Microsoft WordやAdobe Reader う
弱性 あ 場合 来 持 合わ い い攻撃者 悪
意あ 任意 コ 実行さ う場合 あ 2.3 標的型攻撃 悪用さ 弱性 あ 割合 示 い
2.3 標的型攻撃 悪用さ 弱性 あ
2.2. 標的型攻撃 対応
標的型攻撃 基 的 対応方法 い 明
1). 標的型攻撃 見分 方
標的型攻撃 全 対 い 記 注意 標的
型 否 い 見分 能
普段 や い い人 添付 付 届い
何故自分 送 心当 い
49%
13%
11%
27%
官公庁
独立行政法人
民間企業
そ 他
47%
19%
17%
8%
6%
3%
Adobe Reader MS Word Flash Player LibTIFF
9
張子 exe う 実行形式( 縮 場合 中身)
文 化 い
2). 標的型攻撃 届い 場合 対応
記方法等 標的型攻撃 実際 信 分 場合 う
対応 好 い
電 番号案内(104)や 送信者 連絡先 調
送 直接確認
送信者 明 場合 組織内 情報 部門
対策部門 報告 指示 仰
組織内 対策部門 当 感染 掛 あ
調 様 攻撃 人 届い い い 調査 注意
喚起
3). 関 機関 届出
攻撃者 組織 対 様 攻撃 届い い 能性 あ
IPA 相談窓口
3
連絡
3.
標的型
攻撃
対
技術的対策
章 商用 製品や 等 実現 対策 え IPA 公開 い 対策 い 紹
3.1.
標的型 攻撃 い 対策 施さ い対象 個々 PC
組織 要 含 ワ 全体 対策 必要 組織
い 組織 状況 応 必要 対策 組織 対策 検討
選択 用 必要 あ
1). 入口 防御
対策 目的 主 外部 直接内部 攻撃さ い 目
的 い 対策 あ 内部 必要 う い
分 施 対策 あ
最新 対策 ワ ン
侵入検知 防
3
10 2). 弱性対策
対策 目的 1) 防 場合や 外部 曝さ い
攻撃 対策 あ ン や 既知 弱性 悪用
攻撃 あ 特 ン 用い 最新
ン 使う 弱性 修 公開 遅延 適用 標
的型攻撃 事前対策 効 あ
主 対策項目 示
OSや 期的 弱性診断
OSや 関 弱性情報 時期 逸 い収集 修
適用
ン 弱性 作 込 回避
ン WAF
実現 環境 IPA MyJVN ン
弱性対策 JVN iPedia 公開 い
3). 標的型攻撃 対策
標的型攻撃 等 排除 要あ い 険
抑 外部 感染や情報漏えい 防 実施
あ 対策 低減 効 あ 業務 性質や
用 い場合 あ 慎 入 検討 対策 あ
対 SPF (Sender Policy Framework) や DKIM (DomainKeys
Identified Mail)等 送信側 身元保証 ン認証等 技術 挙
送信側 対応 い 必要 あ 技術 入 社会全体 対応 い
標的型攻撃 防 効
主 対策項目 示
URL
外部 利用規則 強制利用抑
4). 活動 阻害 抑 (出口対策)
対策 目的 1) ~ 3) 対策 乗 越え 等 侵入 場合 組織 実害 最 限 留 対策 あ
主 対策項目 示
端 間 部署間 ワ 通信 制限 組織内蔓延抑
組織 端 外部通信 経由さ 等 経路制御
組織内 ワ 監視 異常さ 早期 検知 蔓延 早期
見
11 5). 制御
認証 実施 対策 目的 主 元々 要 等 最低
限 従業員 絞 対策 あ えあ 端 感染
要 権 端 情報 窃 さ
い 特
防 対策 あ
主 対策項目 示
認証
特 ワ 化
6). 情報 暗号化
対策 え情報 窃 さ 内容 解 さ い 目的
対策 あ
主 対策項目 示
通信路 暗号化 Virtual Private Network 利用
暗号化
暗号鍵管理
7). 監視 分析
対策 分析 自組織 攻撃や 感染や
早期 検知 目的 あ 攻撃さ い う
分析 被害状況等 把握 要 あ
主 対策項目 示
ワ 得 分析
得 分析
監査 DB監査 含
8). 管理統制 コン ン ン ン (事前準備 事後対応)
目的 組織全体 う
う 体制 運用管理 設 あ 仮 攻撃 成
場合 う 体制 組 う 行動 いう
あ
主 対策項目 示
徹底
海外 含 会社間 ン
機対応体制 整備
対策 中 標的型 攻撃 う 妙 攻撃 い 入口
対策 抜 う 能性 あ 特 ン 出口対策
12 3.2. 出口対策
4
多 組織 対策 幾 対応 既 い う 対策 施 い
数多 攻撃 い 標的型攻撃 妙 作成さ
入 込 う 完全 防 い 現状 あ
え 等 侵入 組織 実害 被 い
要 あ
出口対策 具体的 方法 あ
出口対策 細 い 新 い 攻撃 対策 向 設計 運用
紹 い 細 い 書 参考 欲 い
http://www.ipa.go.jp/security/vuln/newattack.html
4
新 い 攻撃 対策 向 設計 運用
http://www.ipa.go.jp/security/vuln/newattack.html
A社
入口対策 出口対策
た え入口 防 窃取を 防 対策
出口対策 た え攻撃さ
組織へ 影響 を回避す 可能
出口対策 メージ
対策 実装手法
サービス通信経路設計
1.フ ウォール 外向 通信 遮断ルー ル設定
2.フ ウォール 遮断ログ監視
ブラウザ通信パターンを模倣す http通信検知機能 設計 1.http
メソッド利用バックド 通信 遮断
RAT 内部proxy通信(CONNECT接続) 検知遮断設計
1.RAT CONNECT確立通信 特徴を利用し た 内部proxyログ 監視
最重要部 ンターネット直接接続 分離設計
最重要部 ンターネットへ直接接続し い う VLAN等 設計
重要攻撃目標サーバ 防護
1.ADを管理す 管理セグメントを防護す
2.利用者 見え AD サービス 対す パッチ当
SW等 VLANネットワーク分離設計
利用者セグメント 管理セグメントを分離設 計す 等
容量負荷監視 感染活動 検出
ス ッチ等 負荷やログ容量等 異常 検知を行い セキュリテ 部門 連携す
P2P到達範囲 限定設計
対策 加え 不要 RPC通信 排除 を目的 したネットワーク設計
■(水色) バックド 通信を止 対策
13
4.
標的型
攻撃
対
IPA
組
4.1. IPA 公開 対策情報 紹
近年 標的型 攻撃 大 威 い 対応 IPA
一年 表 示 う 事前対応 早期警戒
対策 事案 生対応 対策 策 提案 い
表4.1 標的型 攻撃 対 対応活動
事前対応 章 述 標的型攻撃 対応 対策
章 述 標的型 攻撃 際 防御 技術的対策 IPA 提案 出口対策 い 挙 い
章 明 対策 実現 多 商用 製品や 等 実現さ
全 社会 実現 要 掛 IPA 公開 い 対策
関連 主 や い 紹
(1) 注意喚起 icat
5
IPA 国内 ン や海外 機関
関 情報 日々収集 影響度 大 問題 い
緊急対策情報 注意喚起 広 一般
周知 対策 注意喚起 icat
ャ 問題 周知 一層 対策 進 目的 IPA 公開
注意喚起情報 配信 企業
や団体 会員向 設置 IPA 公開 最新 緊急対策情報 一覧 自動的 得 表示
5 http://www.ipa.go.jp/security/vuln/icat.html
項目 IPA 対応 施策 ック
前 対 応
注意喚起
'11.11.25: 注意喚起 icat 公開
http://www.ipa.go.jp/about/press/20111125_2.html
ンチ ッ ク
. . :MyJVN ンチ ッ 機能強化
http://www.ipa.go.jp/about/press/20111129.html
弱性対応 JVNiPedia 弱性対策DB 12,000件突破:'12.01現在
向上
'11.10.3: ク 標的型攻撃 分 析
http://www.ipa.go.jp/about/technicalwatch/20111003.html
早 期 警 戒
情報共
ッ
J-CSIP)
. .5 発足
<3 本格運用 向け 鋭意推進中>
対策
出口対策
標的型統合対策
'11.8.3: 新しいタ 攻撃 対策 向けた設計運用 を公開 . . :改訂第 版
http://www.ipa.go.jp/about/press/20111130.html
. . : : 威を増す標的型 攻撃 関 す 注意 喚起 ~ 対応状況 確認 対策 徹底 を~ <チ ッ ク > http://www.ipa.go.jp/about/press/20111018.html
案 発 生対応
安心相談窓口 届出制度
'11.10.25: 標的型 攻撃 特 別相談 窓口 設 置
14
(2) MyJVN ン
6
MyJVN ン PC や
ン さ い 最新
ン あ 簡単 操作 確認
2009年11 公
開 弱性対策 推進 広
利用さ い 最新 ン 使う 既知 弱性 対 攻撃 回避
(3) 弱性対策 JVNiPedia
7
弱性対策情報 JVN iPedia 日 国内 使用さ い 弱性対策情報 収集 公開
弱性関連情報 容易 利用 能
目指 い 1 国内 開 者 公開 弱性対策情報 2 弱性対策情報 JVN
8
公
表 弱性対策情報 3 米国国立標準技術研究所 NIST
9
弱性 NVD
10
公開 弱性対策情報 中
情報 収集 翻訳 2007年4 25日 公開
11,000件 超え 情報 録さ い 2011年第4
四半期 NVD 日々公開さ 弱性対策情報 全 1両日中 翻訳 公開 対象製品 コ や公開情報 即時性 高 運用者
幅広 迅速 情報 得 能 い
(4) 事案 生対応 心相談窓口 届出制度
11
情報 心相談窓口 IPA 国民 向 開設 い
関 総合的 技術 相談窓口 IPA 1990年4 通商産業省 告示 コン
対策基準 基 国内 被害届
付 国内 被害状況 表 対策 注意喚起や啓 活
動 行 い 1996年8 通商産業省 告示 コン
対策基準 基 国内 被害届 付 国内 被害状
況 表 注意喚起や啓 活動 行 い
6
http://jvndb.jvn.jp/apis/myjvn/ 7 http://jvndb.jvn.jp/
8 http://jvn.jp/ 9 http://www.nist.gov/ 10
http://nvd.nist.gov/
15
4.2. 情報共 J-CSIP 活動
12
情報窃 等 目的 標的型 攻撃 対 着信 組織内
害や被害 ぶ前 い 早 組織 検知 除去や対策
効 手段 一 章 事故事例 挙 う 業界団体 騙 標的
型攻撃 送 い 例 示 う あ 特 分 機密情報や個人情報等
狙 想 さ 業 業界全体 あ 組織 検知 標的型攻撃
情報 共 被害 回避や早期 対応 打 期待
う 業界全体 防御 い 国家 防御 施策 試 早期警戒 挙
い 情報共 J-CSIP あ 情報共 要性 各
国 議論さ い
13
J-CSIP 活動 2011年10 25日 経済産業省 主 足 IPA 情報
業 社 対 攻撃情報 共 実現 試 あ 目的
情報共 攻撃 早期検知 回避策 実施
標的型 攻撃 実体調査 共 情報 効果的 対策 推進
あ 概要 標的型 攻撃 例 4.1 用い 明
4.1 J-CSIP 標的型 攻撃情報共 組
12
情報共 J-CSIP http://www.ipa.go.jp/security/J-CSIP/ 13
National Public Private Partnerships
http://www.enisa.europa.eu/act/res/other-areas/national-public-private-partnerships-ppps/
他 ン 企業
IPA
情報 攻撃受信企業
J-CSIP ン
標的型攻撃 を受信
一次解析/共 内容調整
→ 情 報 共
攻撃状況 確認 /早期対応
ン 企業 ック 状況 再共
今後 攻撃 対策 活用 今後 攻撃
対策 活用
→ 情 報 共
次解析 分析等
⑤新たな攻撃を 無効化する対策
等
J-CSIP企業間 連携 ッ
向上
⑥攻撃 強い 作 手引
業界団体向け説明会等 実施
対策 蓄積 対策 向上
共 した情報 攻撃時点 修 正 ッチ 公開さ い い
攻撃も含ま いた
J-CSIP ン 企業 も同一
標的型 攻撃を
受け いた
J-CSIP ン 企業 対し 実在
す 業界関係組織を騙った標的
16
ン 企業 一社 攻撃 信 検知
攻撃 信企業 情報提供 IPA 企業 協力 一 解析 ン 間 共 情報 調整 実施
ン 企業 情報共 実施
共 情報 元 ン 企業 自組織 様 攻撃 検知 削除や組織内周知
等 早期対応
IPA 攻撃 解析 実施 対策情報 抽出 ン 間 情報共
実施
ン 企業 活動 新 攻撃 無効化 対策等
実施
攻撃情報群 分析 攻撃 強い 作 策
情報共 あ 要件 満 さ 要 課題 あ
(1)情報 匿 化 共 さ 情報 標的型攻撃 着信 情報提供元企業
企業含 固 情報 推 い情報
(2)情報 効性 共 さ 情報 ン 企業 標的型攻撃 類似 攻
撃 無等 調査 検知 あ 必要 情報 最大限含
(3)共 即時性 攻撃 早期検知や対応 い 対策 実施等 活用
情報 段階 追 能 限 迅速 情報共 実現
対象 情報 構成 情報群 文 使用言語 文 コ
添付 解析情報 30近い項目 構成さ
J-CSIP 活動 課題 克服 引 続 効性 検証 実施
将来的 共 ン 大や情報共 新 集合体 業種 事業体 展
17
5.
付録
CVE-2011-0611
悪用
概要
PDF-Exploit-m
解析
(
対策情報
)
5.1. PDF-Exploit-m
流行情報
2011年9 日 大手 標的型 攻撃被害 遜い 複数
や コン 感染 被害 生 報 (被害 遜
年8 ) 回解析 PDF-Exploit-m 亜種 思わ PDF
あ
標的型攻撃 国内 対 様 攻撃 掛 明
日 ン 米国 防衛産業 企業 対 種 標的
型攻撃 行わ い 確認さ い
5.2.
概要
(1) 動作概要
PDF-Exploit-m PDF あ 添付さ PDF-Exploit-m
開 PDF-Exploit-m 公開 URL ン 文
記載 あ 感染 推測さ
PDF-Exploit-m 内部 化 施 JavaScriptやFlash 組込
複数 弱性CVE-2009-0927 CVE-2007-5659(CVE-2008-0655) CVE-2011-0611
悪用 環境 沿 感染 実現 い 感染後 機
能 異 dll AdobeARM.dll googlesetup.dll googleservice.exe
いう実行 作成 (explorer.exe) Internet
Explorer(iexplorer.exe) 注入 作成さ googleservice.exe あ
ン 特 指 信
(2) 想 さ 被害(PC内被害 漏洩情報等)
PDF-Exploit-m自身 直接PC 被害 え 機能 い い
PDF-Exploit-m 感染 外部 PC 操作さ ン
実行機能 い 被害 想 さ
端 内 情報 外部 送信さ 情報漏洩
ン 感染 PC内被害や情報漏
18
(3) 事前 回避策
事前 回避策 う 方法 挙
PDF-Exploit-m PDF内 組込 JavaScript 利用 感染 実現
PDF-Exploit-m 開 ン Adobe Reader JavaScript機能
OFF( 記 参照) 感染 防 能 あ
常 Adobe Reader等 最新
添付 や 開 い
文 URL や 開 い
5.1 Adobe Reader [編集]集o環境設 ]画面
(4) 簡易的 感染 断方法
PDF-Exploit-m 方法 確認
1 ン い InternetExplorer (iexplorer.exe)
2 環境変数%CommonAppData% 環境変数%AppData% 示 googlesetup.dll
3 環境変数%CommonStartup% 環境変数%Startup% 示 googleservice.exe
チェックを外す(ヅフォルテ は、チ
19
(5) 感染 場合 復旧策
PDF-Exploit-m 示 削除 行う事 復旧 事 出来
PDF-Exploit-m 体 あ PDF 実行時 害 無いPDF
書 換え い 削除 必要 い
1 環境変数%CommonAppData% 環境変数%AppData% 示
”googlesetup.dll” 削除
2 環境変数%CommonStartup% 環境変数%Startup% 示
”googleservice.exe” 削除
3 環境変数%temp% 示 AdobeARM.dll
googlesetup.dll 削除
回解析 行 概要一覧 表5-1 示
表5-1 概要一覧
NO.2011-03
称 PDF-Exploit-m
俗称
2011年8 16日時点
ン 社 TROJ_PIDIEF.EED
社 Heuristic.BehavesLike.Exploit.P
DF.CodeExec.FFLG
ン 社 Trojan.Gen.2
Exploit.JS.Pdfka.epp
社
起源 2011年9 19日 ( ン 社) 見日 2011年9 30日
動作環境 Application
Adobe Reader and Adobe Acrobat 9 ~ 9.1 前 ン
Adobe Reader and Adobe Acrobat 8 ~ 8.1.3 前 ン
Adobe Reader and Adobe Acrobat 7 ~ 7.1.1 前 ン
Adobe Reader and Acrobat 8.1.1 前 ン Adobe Reader and Acrobat before 8.1.2 前
ン
Adobe Flash Player before 10.2.154.27 on Windows Authplay.dll (aka AuthPlayLib.bundle) 利用
Adobe Reader 9.x ~ 9.4.4 前 ン 10.x t 10.0.1
感染条件 記動作環境 一 環境 当 PDF
実行 感染 当 複数 弱
性 悪用 弱性番号 CVE 弱性
ン ン 列 挙
CVE-2009-0927
20
ン
Adobe Reader and Adobe Acrobat 8 ~ 8.1.3 前 ン
Adobe Reader and Adobe Acrobat 7 ~ 7.1.1 前 ン
CVE-2007-5659 CVE-2008-0655
Adobe Reader and Acrobat before 8.1.2 前 ン
CVE-2011-0611
Adobe Flash Player before 10.2.154.27 on Windows Authplay.dll (aka AuthPlayLib.bundle) 利用
Adobe Reader 9.x ~ 9.4.4 前 ン 10.x t 10.0.1
感染経路 添付さ PDF-Exploit-m 実行
記載さ PDF-Exploit-m
URL 感染
推 さ 標的型攻撃+
概要 PDF-Exploit-m 標的型攻撃 目的 PDF
あ 前述 感染条件 合 PC PDF-Exploit-m 開 (※1) 感染
感染後 ン 通 指示
ン 感染活動 行う 能性 あ
※1 い 記URL 参照 http://www.ipa.go.jp/security/antivirus/bot.html
評価指標
※ 頁 評価指標 明 記
(1) 感染力
(2) 弱性悪用力
(3) 自己隠 い力
(4) 破壊力
(5) 影響力
21
※ウ ス評価指標 い
1 感染力 感染 しやすさ
… 実行形式ファ 開 け 感染し いタ プ
… ファ 偽装す こ ファ 開 せ タ プ
… ファ 開く行為 し く も感染す タ プ
2 脆弱性悪用力 感染 しやすさ
… 脆弱性 悪用し い
… 修正プロ 公開さ い 脆弱性 悪用す
… 修正プロ 未公開 脆弱性 悪用す
3 自己隠 い力 発見 し くさ
… 何 感染 疑う う 症状 あ
… 表立 た症状 無い ユ 操作等 感染 確認
… キッ 等 技術 使わ 感染 確認 困難 あ
4 破壊力 修復 難しさ
… PC等 通常利用 支障 無い
… 実害 あ 復旧 困難 い
… シス ファ や PC 等内 タファ 破壊さ 復旧 困難 あ
5 影響力 外部へ 影響 大 さ
… 感染したPC等 外部 対し 何もし い
… ネッ ワ 他 PC等 対し DoS攻撃やspam 発信等 行う
… 感染したPC等 収集した情報 外部 送信また 公開す
6 感染拡大力 外部へ 影響 大 さ
… 感染機能 し
… LAN内 他 PC等 感染拡大す
… ンタ ネッ 他 PC等 感染拡大す
※ さ 詳しい説明 記ファ 参照
