調査

法人の20%超で遠隔操作ツール通信の疑いを検出--トレンドマイクロ

NO BUDGET

2019-08-15 09:18

 トレンドマイクロは、「国内標的型攻撃分析レポート 2019年版」を発表した。

 これによると、同社がネットワーク監視を行っている法人組織の21.0%で、標的型攻撃に使われる遠隔操作ツールによる遠隔操作サーバーへの通信の疑いが検出されたという。同社ではこの結果について、サイバー犯罪者が既に法人組織で標的型攻撃による内部活動をしており、組織の機密情報を外部に持ち出しているリスクがあることを示しているとした。

 また、2018年の標的型攻撃は、侵入から内部活動に至るサイバー犯罪者が標的の組織に攻撃を行う全てのプロセスにおいて、「正規」ツールを悪用する「環境寄生型(Living Off the Land)」と呼ばれる手口が顕著になっているとした。

 標的組織への侵入は、主に標的組織の従業員へ送付される標的型メールにより行われていた。2018年に解析依頼を受けた標的型メールの添付ファイルのうち50サンプルを抽出して分析したところ、2018年は標的型メールの72%がイベントの開催案内、寄稿原稿の校正確認など受信者の業務と直接関連がある内容を含んだものだった。添付されるファイルの7割は、WordやExcelなどで使われる「Dynamic Data Exchange(DDE)」機能などの正規機能を悪用するものだった。

標的型メールの添付ファイルと攻撃手法(N=50)
標的型メールの添付ファイルと攻撃手法(N=50)

 サイバー犯罪者は、標的組織に侵入する際、端末を制御するために遠隔操作ツール(Remote Access Tool;RAT)を用いるが、今回の調査で2018年に遠隔操作サーバーとの通信を確認した遠隔操作ツール37件を分析したところ、端末を操作するための遠隔操作サーバーは、6割以上が国内の企業や組織、クラウドサービスなど一般のサービスに模した文字列を含むドメインが使用さていたことが分かった。

遠隔操作ツールの通信先の傾向(N=37)
遠隔操作ツールの通信先の傾向(N=37)

 トレンドマイクロでは、商用ツール「Cobalt Strike」やオープンソースの遠隔操作ツール「QuasarRAT」など正規のツールを悪用し、侵入を隠ぺいする手法が2018年も継続しているとしている。また、商用ツールやオープンソースの遠隔操作ツールを実行する際にも、活動を隠ぺいするために標的組織で使われる「PowerShell.exe」や「mshta.exe」といった正規プロセスを悪用し、ツールを実行した痕跡を残さない「ファイルレス活動」も行われていると指摘している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Google Chrome Enterprise が実現するゼロトラスト セキュリティの最新実情

  2. ビジネスアプリケーション

    ITSMに取り組むすべての人へ、概要からツールによる実践まで解説、「ITSMクイックスタートガイド」

  3. ビジネスアプリケーション

    業務マニュアル作成の課題を一気に解決へ─AIが実現する確認と修正だけで完了する新たなアプローチ

  4. ビジネスアプリケーション

    ITSMの手法を組織全体に拡張、エンタープライズサービス管理(ESM)がもたらすメリット

  5. セキュリティ

    身元確認は撮影方式からICチップ読取方式へ、公的個人認証(JPKI)が必要な理由とは

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]