トレンドマイクロは6月13日、2022年の1年間に確認した国内を狙う標的型攻撃(APT)の傾向を解説した。
同社でセキュリティエバンジェリストを務める岡本勝之氏は、標的型攻撃について、重要情報の窃取や破壊活動、情報操作などを目的として特定の法人組織や個人に対象を絞って継続的に行われるサイバー攻撃とし、攻撃主体は国家背景とされるグループと説明した。
2022年に同社が国内で観測した主な標的型攻撃としては「LODEINFO」と「Earth Yako」があるという。警察庁と内閣サイバーセキュリティセンター(NISC)は2022年、標的型攻撃に対する注意喚起として「学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について」を出しているが、同社が観測したLODEINFOとEarth Yakoの攻撃内容と注意喚起された内容には関連性があると岡本氏は推測する。
岡本勝之氏
LODEINFOは、サイバー攻撃グループ名が未決定であるためマルウェアの名前で示されているが、別名を「MirrorFace」と言う。2019年から継続して日本国内でのみ観測されている標的型攻撃で、マルウェア本体を頻繁に更新するなど活発な活動が見られる。公共関連組織、国際関係の組織・個人、メディア関係組織・個人を主な標的としている。
技術的特徴としては、標的型メールにイメージファイルの拡張子(ISO)を持つファイルを添付し、マクロを含んだ「Office」ファイルをその中に入れて送付することが挙げられる。また、不正ドキュメントファイルのペイロードに加え、ウェブ上から暗号化ペイロードをダウンロードしてメモリー内で実行する手法(ファイルレス活動)も確認されている。
Earth Yakoは、2021年以降に日本国内を中心に観測されている標的型攻撃。台湾でも攻撃が確認されている。下図のように、国内の学術機関・シンクタンクに所属する有識者やその関係者など個人を攻撃対象としており、攻撃対象とする業種も経済安全保障、エネルギー、経済、公共などの分野を狙っているが、時々によって変えている。
LODEINFOとEarth Yakoによる攻撃に共通する特徴として、「個人を対象とした攻撃の拡大」と「国内外の情勢に連動した情報窃取活動」を岡本氏は挙げる。
個人を対象とした攻撃の拡大については、特定分野の有識者などの「組織外の個人」を主要な攻撃対象とし、個人のフリーメールアドレスなどに標的型メールを送付する。メールは、セキュリティイベントへの登壇を個人的に依頼するといったことを装う。メールには、イベントの企画書をダウンロードするための「Google ドライブ」へのリンクが記載され、リンクをクリックすると、不正なマクロを含んだOfficeファイルがダウンロードされる仕組みになっている。
また、メールを何度かやりとりした後に悪意あるファイルをダウンロードさせる「やりとり型」の手口もある。例えば、攻撃対象者が大学時代に所属していた研究会からと称してメールを送付するが、「添付のファイルを確認」としつつもファイルを添付しない。ファイルの送付を求めて返信すると、悪意あるファイルを収めたリンクを記載したメールが送付される。攻撃対象者は疑いの念を持つことなくファイルを開いてしまうという。