「なりすましメールではないか」という標的型メールなど、巧妙化する攻撃（トレンドマイクロ）

トレンドマイクロは、2016年（1～12月）の国内における標的型サイバー攻撃を分析したレポート「国内標的型サイバー攻撃分析レポート 2017年版：巧妙化と高度化を続ける『気づけない』攻撃」を公開した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2017.5.10 Wed 8:00

トレンドマイクロ株式会社は5月9日、2016年（1～12月）の国内における標的型サイバー攻撃を分析したレポート「国内標的型サイバー攻撃分析レポート 2017年版：巧妙化と高度化を続ける『気づけない』攻撃」を公開した。2016年のトピックとして、侵入時と内部活動時に巧妙な攻撃手法を用いる遠隔操作型ウイルス「CHCHES（チェチェス）」を新たに確認したことを挙げている。

「CHCHES」は2016年10月頃から確認されており、内部活動時に用いるファイルの暗号化に感染端末固有のシステム情報を使用して、別の環境での復号・分析を困難にしている。また、組織内ネットワークへの初期潜入と内部活動時には、「.EXE」や「.SCR」といった実行形式のファイルを使わず、「.LNK」ファイルを使う「ファイルレス」の攻撃を行う。このことから、攻撃の検知や痕跡から追跡されることを回避する攻撃者の意図が読み取れるとしている。

2016年11月には、日本製の法人向け資産管理ソフト「SKYSEA Client View」のゼロデイ脆弱性を悪用した、遠隔操作型ウイルス「KVNDM」の侵入事例を確認した。標的型メールを使用しない同様の攻撃は2013年3月に韓国で確認されているが、日本では初の事例となる。攻撃者は標的の組織内で使用されているアプリケーションの脆弱性を攻撃に利用するため、日本製だから安心というわけではない。

またレポートでは、標的型メールの手口の巧妙化を取り上げている。たとえば、学生やフリーランス・組織のOBといった組織外の関係者に偽装することで、フリーメールの使用を不審に思わせない手口や、「受信者の組織を偽装したなりすましメールではないか」という名目で、添付ファイルを開かせようとする「なりすまし確認の偽装」の手口が確認されているという。

《吉澤亨史（ Kouji Yoshizawa ）》