日本企業を襲う標的型攻撃に新たな動き

国内の企業・組織を狙う標的型攻撃では巧妙な手口が使われ、現在も攻撃が続いているとセキュリティ各社が指摘している。

[國谷武史，ITmedia]

　日本年金機構での個人情報漏えいが発覚して以降、国内の企業や組織を狙う標的型攻撃の被害が次々に明るみなっているが、セキュリティ各社が8月20日に発表したレポートによれば、その脅威は収束するどころか、さらに深刻化しているようだ。

　トレンドマイクロは、同日発表した4月〜6月期のセキュリティ動向報告の中で、企業や組織が「気づけない攻撃」の多発ぶりを挙げ、公表された15件の事案のうち12件が標的型メールで組織内部に侵入されたとしている。

　標的型メールは、受信者に不審さを感じさせない偽装工作が複数施され、同社は「不審なメールに注意するという心がけでは不十分」と解説。サンドボックスなどの技術で添付ファイルを解析する対策や侵入後に早期発見できる対策の導入・体制整備が急務だと指摘する。

マルウェアを送り付ける標的型メールの一例、出典：トレンドマイクロ

　2015年上半期に報告された事例から、標的型攻撃で使わることの多い遠隔操作マルウェアツール「Emdivi」「PLUG X」が関係した19件の標的型メールを分析した結果、約8割が実在する国内組織に偽装してメールを送りつけていることが分かった。パスワード付の圧縮ファイルを添付していた事例は5件あり、1通目でパスワード付の圧縮ファイルを送付、2通目のメールでパスワードを別送するなど、ビジネスなどでよく使われている方法を悪用した手口も確認された。

2015年1月〜6月に確認した標的型メールの送信者情報の内訳（n=19）、出典：トレンドマイクロ

　一連の攻撃を「ブルーターマイト」と名付けて監視するカスペルスキーも同日、（1）マルウェアの感染手法、（2）マルウェア本体、（3）感染範囲――の3つで新たな変化を確認したと発表した。

　同社によれば、従来の感染手口では標的型メールが多用されたが、7月以降はWebサイトを閲覧したユーザーのコンピュータにマルウェアを送り込む「ドライブ・バイ・ダウンロード」も使われた。攻撃者がマルウェア感染のために改ざんしたWebサイトはホスティング会社など複数にわたり、特定の目的を持った閲覧者が集まるWebサイトを踏み台する「水飲み場型攻撃」も発生しているという。

Webサイトに埋め込まれたコードの例。コードは「faq.html」に転送される仕組みで、これをWebブラウザで開くとFlash Playerの脆弱性が突かれてマルウェアに感染するという、出典：カスペルスキー

　こうした手口ではまず閲覧者を「Emdivi t17」に感染させ、さらに上位版「Emdivi t20」に感染させる。Emdivi t17は情報を盗んだり攻撃者に送信したりするなどの9つの命令を実行するが、Emdivi t20では40近い命令を実行する能力を持つ。7月以降は、感染先の環境に合わせて動作を変えるなどの特徴も見られるとしている。

　また攻撃者とマルウェアの1日あたりの通信数は、6月時点では最大で約140だったものの、7月以降は約280に倍増した。6月までは政府・行政機関や地方自治体、公益団体、大学、銀行、金融サービス、エネルギー、通信、重工、化学、自動車、電機、報道・メディア、情報サービス分野での感染を確認していたが、7月から医療や不動産、食品、半導体、ロボット、建設、保険、運輸の分野でも感染が確認されたという。

C&Cサーバ（攻撃者サーバ）への1日あたりのアクセス推移、出典：カスペルスキー

　カスペルスキーは、「ブルーターマイト攻撃は進行中であり、さらなる情報漏えいを含む被害拡大の懸念がある」と予想。十分なセキュリティ対策を実施していると想定される組織でも被害が発生しており、総合的な対策を根本から見直し、さらにはインシデント情報の共有と有効活用の仕組みが早急に求められると指摘している。