JPCERT/CC、「インシデント報告対応レポート」を発表
- 2018/07/18 10:30
- SecurityInsight
JPCERTコーディネーションセンター(JPCERT/CC)は7月12日、「インシデント報告対応レポート」を発表した。このレポートでは、今年4月1日から6月30日までの間に受け付けた、国内外で発生するコンピュータセキュリティインシデント報告の統計および事例について紹介している。その概要は以下のとおり。
今四半期に寄せられた報告件数は3,815件。このうち、JPCERT/CCが国内外の関連するサイトとの調整を行なった件数は2,124件だった。前四半期と比較して、報告件数は1%増加し、調整件数は4%減少した。また、前年同期と比較すると、報告数で27%減少し、調整件数は17%減少した。
フィッシングサイトの件数は1,214件で、前四半期の924件から31%増加した。また、前年度同期(736件)との比較では、65%の増加となった。
国内のブランドを装ったフィッシングサイトの件数が228件となり、前四半期の208件から10%増加。また、国外のブランドを装ったフィッシングサイトの件数は722件となり、前四半期の564件から28%増加した。JPCERT/CCが報告を受けたフィッシングサイトの内訳は、Eコマースサイトを装ったものが48.7%、金融機関のサイトを装ったものが20.7%、通信事業者のサイトを装ったものが10.2%だった。
前四半期に引き続き、特定の国外ブランドのアカウント窃取を目的としたフィッシングサイトに関する報告が非常に多く寄せられており、今四半期における国外ブランドのフィッシング件数の半数以上を占めた。国内ブランドのフィッシングサイトでは、前四半期と同様に、通信事業者、SNS、金融機関を装ったフィッシングサイトに関する報告が多く寄せられた。
通信事業者を装ったフィッシングでは、大手携帯キャリアの複数ブランドを装ったサイトを確認しているが、これらのサイトのドメインを登録したメールアドレスが共通していた。SNSを装ったフィッシングサイトでは.cnドメインが使用され、金融機関を装ったフィッシングサイトでは、異なる2つのブランドで、.club、.top、.xyzのドメインが共通して使用されているという特徴が見られた。
これらの国外、国内ブランドのフィッシングサイトの多くが、正規のブランド名に類似したドメイン名の一部を少しずつ置き換えて、特定のレジストラから次々に取得して利用していた。このようなドメイン登録は、フィッシング目的であろうことを容易に判断できるため、ドメインの登録申請を受けたレジストラが検知し、却下するような運用が望まれる。フィッシングサイトの調整先の割合は、国内が30%、国外が70%であり、前四半期と同じ割合だった。
標的型攻撃の傾向標的型攻撃に分類されるインシデントの件数は9件。前四半期の6件から50%増加した。今四半期に対応を依頼した組織は3組織で、今年4月初めにWord文書を含むzipファイルが添付された不審なメールに関する報告が寄せられた。
Word文書にはvbsファイルを作成、実行するマクロが組み込まれており、マクロの実行によってマルウエアがダウンロードされ、最終的にリモートデスクトップツールAmmyy Adminと、通信先からファイルをダウンロードするマルウエアがインストールされることを確認。不審メールは、悪用されたメールアカウントから国内のメールサーバーを介し送信された可能性があった。
また、vbsファイルおよび最終的に感染するマルウエアがアクセスするURLのホスト部は、いずれも侵入されて悪用されたと見られる国内IPアドレスを持つWebサイトを示していた。不審メールに添付されたWord文書を開くことでAmmyy Adminがインストールされる事例は2017年4月にも確認されており、今回攻撃に使用されたWord文書のファイル名や、マクロで作成したvbsファイルを実行する手法などは、以前のものと共通していた。
5月後半には、標的型攻撃と見られるなりすましメールの報告が寄せられた。メールに添付されたzipファイルにはパスワードがかけられており、展開用のパスワードが別のメールに記載されていた。zipファイルに含まれているWord文書を開くと、WindowsのVBScriptエンジンの脆弱性(CVE-2018-8174)を悪用する攻撃コードがダウンロードされ、マルウエアが実行される仕組みになっていた。CVE-2018-8174の脆弱性は、今年5月のMicrosoftのセキュリティ更新プログラムで修正されたもので、攻撃者が脆弱性の公表から時を置かずに攻撃に悪用した事例と言える。攻撃の最終段階で実行されるマルウエアは、C&CサーバーからHTTPで命令を受信して動作するボットだった。