標的型メール攻撃の訓練という内容を最近報道で見かけます。
上記のニュースのように政府でも実施を予定しているそうで、「具体的にはどうやるのか?」についてはJPCERT/CCが公開している報告書が詳しいです。
- 政府機関における標的型不審メール訓練について(NISC) PDF
- 2008年度 IT セキュリティ予防接種実施調査報告書(JPCERT/CC) PDF
- 2009年度 ITセキュリティ予防接種調査報告書(JPCERT/CC) PDF
この手の訓練で用いられている手法はWordファイルなどにWebビーコン(またはWebbug)と呼ばれるデータを埋め込み、ファイルを開封時に信号を発信させ、どのような開封状況であったかを確認する方法がとられているそうです。今回はそのファイルの作り方を調べてみました。とはいえ、紹介する方法が実際に政府の訓練でも用いられているかは定かではありませんし、用途次第では悪用できますので、訓練のような特別な目的以外での使用は厳禁です。
1. Webビーコン入りDocファイルの作り方
(1) 適当なHTMLファイルを作る
まずはHTMLファイルを作りましょう。
中身はHTMLタグだけで構いません。
(2) Wordで開きなおして上書き保存する
次に作成したHTMLファイルをWordで開いてください。
中身は空のファイルですから、Wordで開いても何も表示されません。そのまま、名前を付けて保存を選び、同名で結構なので上書き保存をしましょう。
そうすると、WordのHTML形式に保存しなおされ、画像ファイル等が格納される「.files」フォルダも作成されます。
試しに作成したHTMLファイルをテキストエディタで開いてみてください。
先ほどは空っぽだった中身が上書きしたことによってたくさん追加されていることが確認できると思います。
(3) Webビーコンを埋め込む
テキストエディタで開いたまま、bodyタグの中にimgタグを埋め込みます。
このimgタグがWebビーコンとなります。
<img src="http://192.168.83.14/?piyokango-no-webbug" width="1" height="1"/>
ここでは192.168.83.14のWebサーバーにアクセスするWebビーコンを埋め込んでおり、クエリストリングとして「piyokango-no-webbug」をつけて通信させます。また、Webビーコンが埋め込まれていることを目立たせないために、1x1ピクセルの大きさにしています。
(4) Doc形式で保存する
ではWebビーコンを埋め込んだHTMLファイルをWordで開いてみましょう。
特に何もなさそうに見えますが、裏では通信が発生しており、それはアクセスログからも確認ができます。
最後に「名前を付けて保存」からファイルの種類で「Word97-2003文書」を選んで保存しましょう。
これでWebビーコン入りWordファイルが完成しました。
一応確認のため開いてみましょう。
アクセスログが出力されていることが確認できるかと思います。
今回のこの方法を使ってWord2003、Word2010でWebビーコンが機能することを確認しています。また.docx形式でも作成可能です。
後は訓練の許可を然るべきところに取った上で実施できますね。
お疲れ様でした。 :)
