正規ツールで監視を逃れる標的型攻撃が依然継続(トレンドマイクロ) | ScanNetSecurity
2019.11.15(金)

正規ツールで監視を逃れる標的型攻撃が依然継続(トレンドマイクロ)

トレンドマイクロは、2018年(1~12月)の国内における標的 型サイバー攻撃を分析したレポート「国内標的型サイバー攻撃分析レポート 2019年版:~商用や標的組織で使われる正規ツールを悪用する『環境寄生型』攻撃が継続~」を公開した。

調査・レポート・白書 調査・ホワイトペーパー
レポート「国内標的型サイバー攻撃分析レポート 2019年版:~商用や標的組織で使われる正規ツールを悪用する『環境寄生型』攻撃が継続~」
レポート「国内標的型サイバー攻撃分析レポート 2019年版:~商用や標的組織で使われる正規ツールを悪用する『環境寄生型』攻撃が継続~」 全 3 枚 拡大写真
トレンドマイクロ株式会社は8月8日、2018年(1~12月)の国内における標的
型サイバー攻撃を分析したレポート「国内標的型サイバー攻撃分析レポート 2019年版:~商用や標的組織で使われる正規ツールを悪用する『環境寄生型』攻撃が継続~」を公開した。2018年の標的型攻撃は、侵入から内部活動に至るサイバー犯罪者が標的の組織に攻撃を行うすべてのプロセスにおいて、「正規」ツールを悪用する「環境寄生型(Living Off the Land)」と呼ばれる手口が顕著であった。

標的組織への侵入には、主に標的組織の従業員へ送付される標的型メールにより行われる。2018年は、標的型メールの7割がイベントの開催案内、寄稿原稿の校正確認など受信者の業務と直接関連がある内容を含んだものであった。また、標的型メールに添付されるファイルは、exeなどの実行形式、OSやアプリケーションの脆弱性の悪用、WordやExcelなどの正規機能を悪用する3つのタイプに分類できるが、WordやExcelなどで使われるDynamic Data Exchange(DDE)機能などの正規機能を悪用する攻撃が72%を占めた。

内部活動においては、不正プログラムの使用を控え正規のツールを悪用し、侵入を隠蔽する手法が2018年も継続した。具体的には、商用ツール「Cobalt Strike」やオープンソースの遠隔操作ツール「QuasarRAT」などが使われ、セキュリティ製品による検出や監視の目を免れようとしている。また、これらの商用ツールやオープンソースの遠隔操作ツールを実行する際にも、活動を隠蔽するために標的組織で使われる「PowerShell.exe」や「mshta.exe」といった正規プロセスを悪用し、ツールを実行した痕跡を残さない「ファイルレス活動」も行われている。

同社が2018年の1年間に行ったネットワーク監視対応の中では、調査対象100社のうち33社で侵入を受けている危険性「高」と判定され、そのうちの約6割、全体の2割にあたる21社では遠隔操作通信の疑いも検出した。監視などの対策を行っていない組織では、これらの危険性に気づくことは難しく、同じ割合で攻撃が発生しているとすれば国内組織の3社に1社ではすでに発生しているネットワークへの侵入に気づけていない可能性が高いとしている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. メール誤送信後に隠蔽を行った25歳職員を懲戒処分(川崎市)

    メール誤送信後に隠蔽を行った25歳職員を懲戒処分(川崎市)

  2. CrowdStrike Blog:新学期をさらに憂うつにさせるランサムウェア

    CrowdStrike Blog:新学期をさらに憂うつにさせるランサムウェア

  3. サイバーリスク増大予想するも準備はできていないと考える日本(ファイア・アイ)

    サイバーリスク増大予想するも準備はできていないと考える日本(ファイア・アイ)

  4. 「カードの不正使用を検知し凍結した」とする、MyJCB偽メール(フィッシング対策協議会)

    「カードの不正使用を検知し凍結した」とする、MyJCB偽メール(フィッシング対策協議会)

  5. マイクロソフトが月例セキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC)

    マイクロソフトが月例セキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC)

  6. 独裁者御用達マルウェア「フィンフィッシャー」作成企業、ドイツのジャーナリストへ脅迫状 ~ 奴らは「ストライサンド効果」を知らないのか(The Register)

    独裁者御用達マルウェア「フィンフィッシャー」作成企業、ドイツのジャーナリストへ脅迫状 ~ 奴らは「ストライサンド効果」を知らないのか(The Register)

  7. 「5pb. Records div2 official shop」へ不正アクセス、カード情報が流出(コムス)

    「5pb. Records div2 official shop」へ不正アクセス、カード情報が流出(コムス)

  8. 重要インフラ14分野による分野横断的演習を開催、約5,000名が参加(NISC)

    重要インフラ14分野による分野横断的演習を開催、約5,000名が参加(NISC)

  9. Web上で行えるAndroidアプリの脆弱性診断サービス、LACへ譲渡(ラック)

    Web上で行えるAndroidアプリの脆弱性診断サービス、LACへ譲渡(ラック)

  10. MITRE ATT&CKフレームワーク等に準じた疑似攻撃で対策の有効性評価(ファイア・アイ)

    MITRE ATT&CKフレームワーク等に準じた疑似攻撃で対策の有効性評価(ファイア・アイ)

ランキングをもっと見る