トレンドマイクロ、「国内標的型攻撃分析レポート 2019年版」を公開
- 2019/08/09 10:00
- SecurityInsight
トレンドマイクロは8月8日、2018年(1~12月)の国内における標的型攻撃を分析したレポート「国内標的型攻撃分析レポート 2019年版:正規を利用した隠蔽が進む」を公開した。その概要は以下のとおり。
1.侵入から内部活動に至る全てのプロセスで「正規」ツール、サービスを悪用
2018年の標的型攻撃は、侵入から内部活動に至るサイバー犯罪者が標的の組織に攻撃を行なう全てのプロセスにおいて「正規」ツールを悪用する「環境寄生型(Living Off the Land)」と呼ばれる手口が顕著となった。
標的組織への侵入は、主に標的組織の従業員へ送付される標的型メールにより行なわれる。2018年は標的型メールの7割がイベントの開催案内、寄稿原稿の校正確認など受信者の業務と直接関連がある内容を含んだものだった。
また、標的型メールに添付されるファイルは、exeなどの実行形式、OSやアプリケーションの脆弱性の悪用、WordやExcelなどの正規機能を悪用する3つのタイプに分類できるが、WordやExcelなどで使われるDynamic Data Exchange(DDE)機能などの正規機能を悪用する攻撃が72%だった。
サイバー犯罪者は、標的組織に侵入する際、端末を制御するために遠隔操作ツール(Remote Access Tool:RAT)を用いる。端末を操作するための遠隔操作サーバーは、6割以上が国内の企業や組織、クラウドサービスなど一般のサービスに模した文字列を含むドメインが使用された。
標的組織内での内部活動においては、不正プログラムの使用を控えて正規のツールを悪用し、侵入を隠蔽する手法が2018年も継続した。具体的には、商用ツール「Cobalt Strike」やオープンソースの遠隔操作ツール「QuasarRAT」などが使われた。
これらのツールは不正なツールではないため、セキュリティ製品による検出や監視の目を免れるために使用していることがうかがえる。また、これらの商用ツールやオープンソースの遠隔操作ツールを実行する際にも、活動を隠蔽するために標的組織で使われる「PowerShell.exe」や「mshta.exe」といった正規プロセスを悪用し、ツールを実行した痕跡を残さない「ファイルレス活動」も行なわれている。
システム担当者は、正規の遠隔操作ツールのログを検知した場合、その利用者と利用されている時間などを基に正当性を確認することが重要。また、ネットワーク上の振る舞いで検知が難しいファイルレス活動は、エンドポイント内で実行されたプロセスを保存し、調査できる仕組みを講じることが有効となる。
2.法人組織の5社に1社で標的型攻撃における遠隔操作ツールの疑いを検出
トレンドマイクロがネットワーク監視を行なっている法人組織の21.0%で標的型攻撃で使われる遠隔操作ツールによる遠隔操作サーバーへの通信の疑いを示す検出を確認した。サイバー犯罪者がすでに法人組織で標的型攻撃による内部活動を行なっており、組織の機密情報を外部に持ち出しているリスクがあることを示している。