4つの標的型攻撃者グループの活動を日本で観測--トレンドマイクロ

渡邉利和

2022-05-11 07:00

 トレンドマイクロは5月10日、国内標的型攻撃分析レポートの2022年版を公開した。2021年は「LODEINFO」「Earth Tengshe」「Earth Hundun」「Earth Kumiho」(いずれも同社による命名)という4つの標的型攻撃者グループによるサイバー攻撃が観測されたという。

 セキュリティエバンジェリストの岡本勝之氏によると、「標的型攻撃は重要情報の窃取などを目的として特定の法人組織に対象を絞って継続的に行われるサイバー攻撃であり、攻撃主体として国家が背景にあることが推測される攻撃者グループを中心としている」という。通常のサイバー犯罪が金銭的利益を目的とする点が異なるものの、初期侵入手法などにはあまり差が見られなくなってきており、判別が困難な場合もあると指摘した。

標的型攻撃とサイバー犯罪の違い
標的型攻撃とサイバー犯罪の違い

 岡本氏はまた、「アトリビューション」(Attribution)について「攻撃の痕跡や、攻撃者の意図・動機・能力を分析し、攻撃グループの特定や特徴を解明するプロセス」だと説明。こうした分析が防御側のリスクの把握やプロアクティブな防御に役立つ一方、サイバー攻撃の技術的痕跡を収集・分析する技術的アトリビューションはともかく、社会・政治・経済的要素を加味し、分析する社会・政治的アトリビューションにはサイバー空間で得られる情報だけでは不足で、公的な捜査機関などでないと難しい面があるとも指摘した。

 具体的には、攻撃グループの背後にいると想定される国家を名指しできるかどうかという点に関係するが、同社が主に収集している技術的な痕跡からでは、なかなか国家名を断定できるだけの確証は得られないことが多いとした。また、さまざまなセキュリティベンダーが標的型攻撃を実行する攻撃者グループの活動を監視しているが、標的型攻撃はそもそも隠密性の高い攻撃であり、無差別に大量にばらまかれるマルウェアなどと違って検出する機会も少ない。そのため、セキュリティベンダーでも十分な情報が得られるとは限らず、複数のセキュリティベンダーがそれぞれ断片的な情報しか得られていないといった状況も起こり得ることから、全体像を掴むためには関係者間での情報の公開や共有といった取り組みも重要だとした。

 続いて、日本で活動を確認した主な標的型攻撃者グループのうち、特に近年活動が活発な5グループとしてEarth Hundun/BlackTech、Earth Tengshe、LODEINFO、Lazarus Group、Earth Kumiho/Kimsukyの5グループのついて解説した。

日本での活動が確認された主な標的型攻撃者グループ
日本での活動が確認された主な標的型攻撃者グループ

 中でも、LODEINFOは日本でのみ活動が観察されている攻撃者グループで、現時点で「背後にある攻撃者の断定はできていない」(岡本氏)という。そのため、同グループが使用する攻撃ツールの名前をそのままグループ名にしているという。日本での活動は2019年末から観測されているが、使用する遠隔操作ツールを頻繁にアップデートするなど、「攻撃インフラの整備に注力している様子がうかがえる」(同氏)としている。

 同グループの狙いについては、岡本氏は「おおむねの目的は、重要情報に関する情報搾取と推測している」というが、近年はサプライチェーン攻撃も増えてきており、標的として直接狙われるような重要情報を保持する公的機関や防衛関連組織、学術機関、金融業界などにとどまらず、こうした組織と取引などがある他の組織が標的とされる例も増えてきていると指摘した。

 こうした動向を踏まえて同氏は、日本企業が取るべき対策として「実害防止重視の対策」「進入経路(Attack Surface)の可視化によるリスク軽減」「組織・業界・国をまたいだ情報共有か都度の必要性」の3点を挙げた。

日本企業が取るべき対策
日本企業が取るべき対策

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]