トレンドマイクロ、2020年の国内標的型攻撃を分析した「国内標的型分析レポート2021年版」を発表
- 2021/09/24 10:00
- SecurityInsight
トレンドマイクロは9月16日、2020年の国内に対する標的型攻撃を分析した「国内標的型分析レポート2021年版」を公開したことを発表した。レポートの主なトピックとその概要は以下のとおり。
1.2020年は7つの標的型攻撃者グループの攻撃を国内で観測
2020年は年間を通して、7つの標的型攻撃者グループによる攻撃を国内で観測した。特に「Lazarus Group」など、過去に国内での活動が顕在化していなかった攻撃者グループによる攻撃に加えて、「menuPass」など2018年末より一時的に国内での活動が不活発だった攻撃者グループの活動再開が特徴的となっている。この2つの攻撃者グループの活動変化は、背景にある国家・組織の戦略方針の変更結果と推測され、日本国内の組織が攻撃対象となってきた恐れがあるため、2つのグループの動向には今後注意が必要となる。
2.「サプライチェーンの弱点」を突いた侵入が顕著に
2020年は複数の「サプライチェーンの弱点」を悪用した攻撃を確認した。「ソフトウェアサプライチェーン攻撃」以外でも、標的組織への侵入方法として、ビジネス上でのつながりのある組織・拠点を狙った攻撃を行なう「ビジネスサプライチェーン攻撃」や、標的組織が利用しているMSPなどを侵害する「サービスサプライチェーン攻撃」も存在する。特に「ビジネスサプライチェーン攻撃」は、特定の被害組織を起点として、サプライチェーン上の複数の組織で同一マルウェアによる攻撃を観測している。
3.内部活動時の「環境寄生型」の攻撃がより巧妙に
法人組織のネットワークへの侵入後のシステム権限昇格や水平移動といった、内部活動の際にセキュリティ製品での検知を逃れるための隠ぺい工作もより巧妙になっている。遠隔操作ツール(RAT:Remote Admin Tool)実行時にファイル本体を用いない「ファイルレス攻撃」が常態化しているほか、侵害した端末が攻撃対象であることが確認できた場合にのみ、次のマルウェアや不正なスクリプトのダウンロードに進む多段構成の攻撃事例も国内で確認している。国内事例では、正規のソフトウェアベンダーが作成した正規のソフトウェアを改ざんし、署名情報を悪用する不正ファイルを確認している。