編集部からのお知らせ
CNET_ID限定PDF「システム監視の新ワード」
注目の記事まとめ「Emotet」動向
ネットワークセキュリティの要諦

なぜ日本が狙われるのか--増加する標的型攻撃の裏側を読む - (page 2)

羽生信弘

2015-06-19 07:30

日本の製造業を狙い撃ちにした標的型攻撃

 1月から3月にかけて「訃報メール」を装った日本の製造業を狙ったサイバー攻撃が起こりました。攻撃したのはDragonOKと呼ばれる、江蘇省を拠点としているとみられる犯罪者集団で、2014年から日本と台湾のハイテク産業や製造業を狙ったスパイ活動が報告されています。

 DragonOKの攻撃は、Backdoor.Emdiviと同様に無害に見えるファイルにドロッパーを仕込んで送り込み感染させます。今回の攻撃では訃報を知らせるメールにWordやExcel、PDFのアイコンを模した実行ファイルがのアイコンを模した実行ファイル(exe)が添付されており、その添付ファイルにマルウェアが仕込まれていました。

 また、この攻撃には正規の文書であることを見せかけるために“おとり文書”も含まれており、メールの受信者がファイルを実行すると訃報の内容が書かれた文章などを表示します。そして、このマルウェアはバックグラウンドでC&Cサーバとの通信してRATをダウンロードします。

日本の製造業に届いた、実際の訃報を装ったおとり文章


 この攻撃の特徴は新しい未知のRATが使われた点です。一連の攻撃では合計5つのRATが使われており、そのうちNFlog、Poisonlvy、NewCT、PlugXの4つはこれまでもさまざまな標的型攻撃の中で使用されてきたものですが、残り1つのRATはグローバルでも確認されていないツールで、日本の組織を攻撃するために攻撃者が新しく作成したものであると考えられます(今回この攻撃を発見したパロアルトネットワークスはこのツールを「FormerFirstRAT」と名付けました)。

 これらのRATはシステムのコントロールの奪取、キーロガー、スクリーンキャプチャの取得、ファイルの盗難といった活動を行います。

 この攻撃は1月から3月の2カ月の間に同一の方法で、最初にとある製造業への攻撃があり、そして次にハイテク組織への攻撃が観測されています。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]