また、既存のツールキットもバージョンアップを行っており、例えば「Blackhole」では、特定の関数によって本日の日付を算出して、その結果に基づいてドメインを指定するやり方で、毎日アドレスを変更することで検知されにくくしていた。シマンテックがこの関数を解析して調査したところ、8月末まで指定されるドメインが取得済みだったという。これを毎時変更するようにするといった手法も考えられるという。
標的型攻撃は、2011年にはグローバルで1日平均80件の攻撃が観測され、日本では1日1件の割合で観測されていたという。今年に入って、グローバルでは1日平均186件と急増。日本では1日平均30件に拡大していた。
-
バージョンアップしたBlackholeの仕組み
-
エクスプロイト内のコード
-
2012年上半期の標的型攻撃のグローバルの現状
日本では1社に対して多数の標的型攻撃が行われ、これが全体の数を押し上げたそうだ。Wood氏は、いったん攻撃された企業が同社に相談してセキュリティソリューションを契約。それによって攻撃者が標的企業から情報が得られなくなり、それに対抗するためにさまざまな攻撃を行ったため、攻撃数が増えた、とみている。ただし、この1社に対する攻撃をのぞいても、日本の標的型攻撃の観測数は増加傾向だという。
この1件があったにしろ、日本に対する攻撃は世界でも3番目に多い割合で、全体の攻撃のうち42%が米国向け、19.5%が英国向けで、次いで日本が17.15%で続いていた。前年同期は1.1%の10位だったため、攻撃は拡大しているようだ。
-
2012年上半期の標的型攻撃の日本の現状
-
地域別の標的型攻撃の状況
-
1社に行われた攻撃に使われたメール。「金融サービス」関連企業だったという
日本向けの攻撃では、日本語のメールにマルウェア付きのファイルが添付された形で、PDFやOffice文書が悪用されていた。Office文書を暗号化して、パスワードをメール内に添付する形の攻撃も発見されている。
こうした攻撃の標的は、グローバルでは従業員2500人以上の大企業が半数以上を占めているが、1~250人の中小企業でも3割以上に達している。日本ではこれが2500人以上が99%近くを占めていたが、Wood氏は「大手企業サプライチェーンに組み込まれている中小企業では、全体の中でウィークポイントとして狙われる可能性がある」と警告。対策が必要である点を強調する。
-
こちらも日本向けに使われた攻撃で、Officeドキュメントが含まれている
-
暗号化された文書を添付した攻撃
-
シマンテックのSkepticテクノロジを使うと、通常のOffice文書とマルウェア付きOffice文書を自動的に解析して検出できる
Wood氏は、下半期も標的型攻撃が拡大すると予測。モバイル端末の普及にともなって、モバイル向けの攻撃も拡大すると指摘する。クロスプラットフォーム対応の攻撃コードや、攻撃ツールキットにMac向けも含まれることから、Macでも攻撃の標的になり得ることを警告している。また、ソーシャルネットワーク上の発言で情報を出しすぎる点や、つながっている相手などの注意を促すとともに、標的型攻撃への対応も求めている。
-
グローバルで見た標的にされた企業の規模
-
日本で標的にされた企業の規模
