標的型攻撃は組織外の個人を標的--進む「サプライチェーン」形成

河部恭紀 (編集部)

2023-06-14 07:35

 トレンドマイクロは6月13日、2022年の1年間に確認した国内を狙う標的型攻撃(APT)の傾向を解説した。

 同社でセキュリティエバンジェリストを務める岡本勝之氏は、標的型攻撃について、重要情報の窃取や破壊活動、情報操作などを目的として特定の法人組織や個人に対象を絞って継続的に行われるサイバー攻撃とし、攻撃主体は国家背景とされるグループと説明した。

 2022年に同社が国内で観測した主な標的型攻撃としては「LODEINFO」と「Earth Yako」があるという。警察庁と内閣サイバーセキュリティセンター(NISC)は2022年、標的型攻撃に対する注意喚起として「学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について」を出しているが、同社が観測したLODEINFOとEarth Yakoの攻撃内容と注意喚起された内容には関連性があると岡本氏は推測する。

岡本勝之氏
岡本勝之氏

 LODEINFOは、サイバー攻撃グループ名が未決定であるためマルウェアの名前で示されているが、別名を「MirrorFace」と言う。2019年から継続して日本国内でのみ観測されている標的型攻撃で、マルウェア本体を頻繁に更新するなど活発な活動が見られる。公共関連組織、国際関係の組織・個人、メディア関係組織・個人を主な標的としている。

 技術的特徴としては、標的型メールにイメージファイルの拡張子(ISO)を持つファイルを添付し、マクロを含んだ「Office」ファイルをその中に入れて送付することが挙げられる。また、不正ドキュメントファイルのペイロードに加え、ウェブ上から暗号化ペイロードをダウンロードしてメモリー内で実行する手法(ファイルレス活動)も確認されている。

 Earth Yakoは、2021年以降に日本国内を中心に観測されている標的型攻撃。台湾でも攻撃が確認されている。下図のように、国内の学術機関・シンクタンクに所属する有識者やその関係者など個人を攻撃対象としており、攻撃対象とする業種も経済安全保障、エネルギー、経済、公共などの分野を狙っているが、時々によって変えている。

画像1

 LODEINFOとEarth Yakoによる攻撃に共通する特徴として、「個人を対象とした攻撃の拡大」と「国内外の情勢に連動した情報窃取活動」を岡本氏は挙げる。

 個人を対象とした攻撃の拡大については、特定分野の有識者などの「組織外の個人」を主要な攻撃対象とし、個人のフリーメールアドレスなどに標的型メールを送付する。メールは、セキュリティイベントへの登壇を個人的に依頼するといったことを装う。メールには、イベントの企画書をダウンロードするための「Google ドライブ」へのリンクが記載され、リンクをクリックすると、不正なマクロを含んだOfficeファイルがダウンロードされる仕組みになっている。

 また、メールを何度かやりとりした後に悪意あるファイルをダウンロードさせる「やりとり型」の手口もある。例えば、攻撃対象者が大学時代に所属していた研究会からと称してメールを送付するが、「添付のファイルを確認」としつつもファイルを添付しない。ファイルの送付を求めて返信すると、悪意あるファイルを収めたリンクを記載したメールが送付される。攻撃対象者は疑いの念を持つことなくファイルを開いてしまうという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]