2021年第3四半期 J-CSIPレポート、意図しない Onion ドメインへのアクセスについても

独立行政法人情報処理推進機構（IPA）は10月27日、2021年7月から9月の第3四半期における「サイバー情報共有イニシアティブ（J-CSIP）運用状況」と付録として「Excel-DNAを悪用したExcelアドインファイルのウイルス」を公開した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2021.10.29 Fri 8:00

　独立行政法人情報処理推進機構（IPA）は10月27日、2021年7月から9月の第3四半期における「サイバー情報共有イニシアティブ（J-CSIP）運用状況」と付録として「Excel-DNAを悪用したExcelアドインファイルのウイルス」を公開した。J-CSIPは、13業界262組織および2情報連携体制（医療系4団体およびその会員約5,500組織、水道関連事業者等9組織）の体制となっている。

　同四半期、J-CSIP参加組織からIPAに対し、サイバー攻撃に関する情報（不審メール、不正通信、インシデント等）の情報提供が346件（前四半期は369件）行われ、その情報をもとにIPAからJ-CSIP参加組織へ21件（前四半期は40件）の情報共有が実施された。このうち標的型攻撃メールとみなした情報は3件であった。

　また同四半期は、海外のグループ企業にてMicrosoft Exchange Server の脆弱性を悪用した攻撃を受けたとの情報提供があった。これはJ-CSIP の参加組織の海外グループ企業で、Microsoft Exchange Server の脆弱性を悪用した攻撃があり、サーバ内に複数の不正なファイル（ウェブシェル等）が設置されたという情報提供を受けたもので、IPAで調査したところ、類似の不正ファイルが同脆弱性を悪用した攻撃で使われていたことを確認している。

　その他、同四半期にはGoogle 検索をする中で発見したサイトへ訪問したところ、意図しない Onion ドメインのサイトへの通信が発生し、セキュリティソフトによって検知したという情報提供があった。これは、情報提供元の従業員が、Google 検索で発見したサイトへアクセスし当該ページに表示された URL リンク先へアクセスしたところ、意図しない Onion ドメインのサイトへのアクセスが発生し、セキュリティ製品に検知されたというもの。Onion ドメインのサイトは著作権侵害にもつながる可能性のある学術系の雑誌等の共有サービスで、通常、Onion ドメインへのアクセスにはTor ブラウザ等が必要となる。

　同四半期では、J-CSIP 参加組織からExcel アドイン（拡張子 .xll）形式のファイルが添付された不審メールの情報提供があった。IPAではExcel アドインファイルを解析し、Excel-DNA と呼ばれるツールを使用している共通点を見つけ攻撃事例を調査したところ、公開情報から59個の Excel-DNA を悪用した Excel アドインファイルを入手でき、これらを解析、比較し得た攻撃者の環境や攻撃手法についての知見を付録「Excel-DNAを悪用したExcelアドインファイルのウイルス」で紹介している。