正規ツールで監視を逃れる標的型攻撃が依然継続(トレンドマイクロ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.08.26(月)

正規ツールで監視を逃れる標的型攻撃が依然継続(トレンドマイクロ)

トレンドマイクロは、2018年(1~12月)の国内における標的 型サイバー攻撃を分析したレポート「国内標的型サイバー攻撃分析レポート 2019年版:~商用や標的組織で使われる正規ツールを悪用する『環境寄生型』攻撃が継続~」を公開した。

調査・レポート・白書 調査・ホワイトペーパー
レポート「国内標的型サイバー攻撃分析レポート 2019年版:~商用や標的組織で使われる正規ツールを悪用する『環境寄生型』攻撃が継続~」
レポート「国内標的型サイバー攻撃分析レポート 2019年版:~商用や標的組織で使われる正規ツールを悪用する『環境寄生型』攻撃が継続~」 全 3 枚 拡大写真
トレンドマイクロ株式会社は8月8日、2018年(1~12月)の国内における標的
型サイバー攻撃を分析したレポート「国内標的型サイバー攻撃分析レポート 2019年版:~商用や標的組織で使われる正規ツールを悪用する『環境寄生型』攻撃が継続~」を公開した。2018年の標的型攻撃は、侵入から内部活動に至るサイバー犯罪者が標的の組織に攻撃を行うすべてのプロセスにおいて、「正規」ツールを悪用する「環境寄生型(Living Off the Land)」と呼ばれる手口が顕著であった。

標的組織への侵入には、主に標的組織の従業員へ送付される標的型メールにより行われる。2018年は、標的型メールの7割がイベントの開催案内、寄稿原稿の校正確認など受信者の業務と直接関連がある内容を含んだものであった。また、標的型メールに添付されるファイルは、exeなどの実行形式、OSやアプリケーションの脆弱性の悪用、WordやExcelなどの正規機能を悪用する3つのタイプに分類できるが、WordやExcelなどで使われるDynamic Data Exchange(DDE)機能などの正規機能を悪用する攻撃が72%を占めた。

内部活動においては、不正プログラムの使用を控え正規のツールを悪用し、侵入を隠蔽する手法が2018年も継続した。具体的には、商用ツール「Cobalt Strike」やオープンソースの遠隔操作ツール「QuasarRAT」などが使われ、セキュリティ製品による検出や監視の目を免れようとしている。また、これらの商用ツールやオープンソースの遠隔操作ツールを実行する際にも、活動を隠蔽するために標的組織で使われる「PowerShell.exe」や「mshta.exe」といった正規プロセスを悪用し、ツールを実行した痕跡を残さない「ファイルレス活動」も行われている。

同社が2018年の1年間に行ったネットワーク監視対応の中では、調査対象100社のうち33社で侵入を受けている危険性「高」と判定され、そのうちの約6割、全体の2割にあたる21社では遠隔操作通信の疑いも検出した。監視などの対策を行っていない組織では、これらの危険性に気づくことは難しく、同じ割合で攻撃が発生しているとすれば国内組織の3社に1社ではすでに発生しているネットワークへの侵入に気づけていない可能性が高いとしている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

    米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

  2. 近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

    近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

  3. 新潟へぎそば通販サイトへ不正アクセス、2015年12月以降のカード決済情報流出(小嶋屋総本店)

    新潟へぎそば通販サイトへ不正アクセス、2015年12月以降のカード決済情報流出(小嶋屋総本店)

  4. 6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月)

    6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月)

  5. 「セキュリティ要素が低い」とアカウント審査に誘導するAmazon偽メール(フィッシング対策協議会)

    「セキュリティ要素が低い」とアカウント審査に誘導するAmazon偽メール(フィッシング対策協議会)

  6. DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ)

    DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ)

  7. パスワードリスト攻撃による不正ログイン、カード不正利用確認(イオン銀行、イオンクレジットサービス)

    パスワードリスト攻撃による不正ログイン、カード不正利用確認(イオン銀行、イオンクレジットサービス)

  8. 不正アクセスでカード情報流出、安全期してショッピングサイト新規開設し再スタート(HARIO)

    不正アクセスでカード情報流出、安全期してショッピングサイト新規開設し再スタート(HARIO)

  9. 「日本セキュリティ協会」を名乗る電話アンケートに注意

    「日本セキュリティ協会」を名乗る電話アンケートに注意

  10. 10連休控え例年より早く発表、今年の長期休暇におけるセキュリティ注意喚起(IPA)

    10連休控え例年より早く発表、今年の長期休暇におけるセキュリティ注意喚起(IPA)

ランキングをもっと見る