JPCERT/CC、「インシデント報告対応レポート(2022年7月1日~2022年9月30日)」を発表
- 2022/10/26 10:00
- SecurityInsight
JPCERT/CCは10月20日、「インシデント報告対応レポート(2022年7月1日~2022年9月30日)」を発表した。レポートでは、2022年7月1日から9月30日までの間に受け付けたインシデント報告の統計および事例について紹介している。その概要は以下のとおり。
本四半期に寄せられた報告件数は1万3564件。このうちJPCERT/CCが国内外の関連する組織との調整を行なった件数は6444件だった。前四半期と比較して、報告件数は19%減少し、調整件数は18%減少。前年同期と比較すると、報告数は9%増加し、調整件数は37%増加した。
このうち、標的型攻撃に分類されるインシデントの件数は2件で、確認されたインシデントを紹介している。
1.不正なショートカットファイルをダウンロードさせる攻撃
本四半期は、不正なショートカットファイルをダウンロードさせる標的型攻撃メールを複数確認した。確認された手口は、問い合わせメールを送り付け、何度かメールのやり取りを行った後に、短縮URLリンクを記載したメールを送り付け、そのリンクをクリックさせることにより、不正なショートカットファイルが格納されたZIPファイルをダウンロードさせるというものだった。
不正なショートカットファイルは、インターネット経由でWord文書をダウンロードして開く。このWord文書は、さらにWord文書のテンプレートファイルをダウンロードして開く。このテンプレートファイルが開かれる際に利用者が求めに応じてマクロを有効化すると、テンプレート内のマクロにより、このテンプレートファイルがMicrosoft Wordのスタートアップフォルダーに保存される。以降、Wordファイルを開くたびに、スタートアップフォルダーに保存されたテンプレートファイル中のマクロが、新たなファイルをダウンロードする仕組みになっていた。
2.マルウェアFlowCloudを使用した攻撃
マルウェアFlowCloudを端末に感染させる攻撃を確認した。FlowCloudは、攻撃グループTA410が使用しているRAT。FlowCloudに感染した端末から情報を窃取することを目的としていたと考えられる。