日本を狙った標的型攻撃が拡大:カスペルスキー調査

山田竜司 (編集部) 2015年08月21日 17時04分

  • このエントリーをはてなブックマークに追加

 カスペルスキーは8月21日、調査分析チームが、日本を狙った標的型攻撃「Blue Termite」に新しい動きを観測したと発表した。

 今回カスペルスキーが観測した変化は三点。一点目は感染の手法で、これまでの標的型攻撃メールに加えて、ユーザーが気付かないようにソフトウェアなどをダウンロードさせる「ドライブバイダウンロード」の利用を確認したという。二点目は、攻撃に用いられるマルウェアの変化で、より標的型に特化したカスタマイズが施されているとした。三点目は、感染被害が数の上でも範囲においても拡大している点とした。

 このような状況からカスペルスキーでは、Blue Termiteの攻撃は進行中であり被害拡大の懸念があるとみる。

 Blue Termiteは日本国内の組織に標的を絞った持続的標的型攻撃(APT)で、感染は多くの業種に広がっている。通常は国外に設置されている攻撃者の指令サーバのほとんどが国内に設置されているのも特徴的という。これは日本の組織が海外からの通信を遮断したり、特定を困難にしたりするための処置と考えられるとした。

新たな感染手法とマルウェアの進化

 Blue Termiteの主な感染手法は、これまでメールだった。7月には、同月にHacking Teamから流出したAdobe Flash Playerのゼロデイ脆弱性を悪用。クラウドホスティング会社をはじめ複数の改ざんサイトにマルウェアを設置したドライブバイダウンロードの利用のほか、特定のサイトにアクセスしたユーザーに対して、マルウェアを感染させる「水飲み場型攻撃」が取り入れられていることも確認したという。

 カスペルスキーでは、攻撃を段階ごとに分析しており、それぞれの段階において目的を達成するために用いられるマルウェアやツール類が異なることを確認している。

 <第一段階>ソーシャルエンジニアリングやそれまでに窃取した情報を元に標的を定め、メールやドライブバイダウンロードなどの手段を使いマルウェア「Emdivi t17」に感染させる。バックドアを仕掛け、感染先の端末を指令サーバの配下におく。

 <第二段階> Emdiviを経由して感染先の情報を調査・収集し、上位版である「Emdivi t20」に感染させる。次の段階で用いられるほかのマルウェアや攻撃ツールも設置され、組織内の別の端末に感染を広げるケースもあるという。

 <第三段階> 感染先の端末内で収集した機密情報や重要情報を窃取する。収集、窃取した情報を元に、次の標的へと攻撃を拡大するとともに、ホスティング事業者などに侵入した場合は、新たな指令サーバとしてのインフラを構築することもあるという。


図1:「Blue Termite」の活動手順

 Emdivi t17は、[GET FILE]、[UPLOAD] などの最大9つのコマンドにしか対応しないが、Emdivi t20は、[RUNAS](特定の権限で実行)や[ZIP](圧縮)ほか、最大40近くのコマンドに対応。7月以降は、特定の標的の環境でのみ動作する新しい仕組みを取り入れており、まさに標的型攻撃用のマルウェアであると説明した。

感染組織の拡大

 攻撃者の指令サーバと感染したとみられる端末との通信数の推移をみると、6月時点での固有のIPアドレス数は300を数え、1日あたり最大の通信数は約140という。しかし、7月に入ると固有のIPアドレス数は3倍以上の1000まで急増し、通信数は約280と倍増した。


図2:指令サーバと感染したとみられる端末との通信数

 カスペルスキーでは、指令サーバとの通信数が倍増した主な要因としては、前述の通り、新たにドライブバイダウンロードが感染手法として利用されたこと、マルウェアのカスタマイズが進み、感染した組織が被害に気づきにくくなっているためとみる。

 また、すでに収集、窃取した情報を元に次の標的へと攻撃を広げていることから、被害組織の業種が拡大している。6月までは政府・行政機関、地方自治体、公益団体、大学、銀行、金融サービス、エネルギー、通信、重工、化学、自動車、電機、報道・メディア、情報サービス分野だったが、7月から新たに医療、不動産、食品、半導体、ロボット、建設、保険、運輸が加わったとしている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]