メッセージラボは4月28日、トロイの木馬によるターゲット攻撃の発生頻度および分布と、その発見を回避するためのツールに関する新しい調査結果を発表した。

 これによると、過去6か月間の調査で、オリンピックをテーマにした13種類のターゲット型トロイの木馬が出現。これらは、メールの件名に「北京2008聖火リレー(The Beijing 2008 Torch Relay)」や「オリンピック委員会よりチケット販売のご案内(National OlympicCommittee and Ticket Sales Agents)」などのタイトルが付いていたり、国際オリンピック委員会から届いたように装っているが、実際には、1種類を除き、すべての攻撃がアジア太平洋地域のIPアドレスから発信されたものだったという。

 ターゲット型のトロイの木馬は、ネットワークに侵入して企業情報を傍受する目的で、組織に属する特定の個人宛に送りつけられる。個々の攻撃は小規模なものだが、多くの場合は、個人ユーザーを装うなどのソーシャルエンジニアリング的な手法を駆使し、受信者にメールや添付ファイルを開けさせようとする。

 ハッカーは、送付フォーマットを頻繁に変更して悪質なマルウェアを隠したり、ブロックされない一般的な添付形式を用いることで、従来のアンチウィルスエンジンによる検出をくぐり抜けようとする。Microsoft Office Database(MDB)をZIPファイルに隠して送りつける手口は、最近よく見られる手口の1つで、ダウンロードされたMDBファイルが展開されると、EXEファイルがディスクに書き込まれデータが盗み出されるという。

 メッセージラボでは、09年以降、ハッカーは利用するフォーマットの種類をさらに広げ、1バイトXORキー、マルチプルXORキー、ROR、ROL、ADD、SUBなどを用いるのではないかと予測。このような攻撃は、とくに情報価値の高い極秘データを持つ軍事組織や行政機関に的を絞っているため、早急に防御策を取るよう指摘している。