訃報を装ったメールに仕込まれた「DragonOK」- 巧妙な標的型攻撃を防ぐ術

今回の目玉は、日本企業を狙った新種の標的型攻撃についての解説と、それに対抗するパロアルトの新製品発表となっている。本記事では同社技術本部長乙部幸一朗氏に、2015年4月20日に発表され大きな話題となった、訃報を模した標的型攻撃の概要と、それを防ぐための手段について解説いただいた。

2015年5月19日ベルサール六本木にて米国サンタクララに本社を持つセキュリティベンダー「パロアルトネットワークス合同会社(以下、パロアルト)」によるセキュリティカンファレンス「Palo Alto Networks Day 2015 Tokyo」が開催される。

パロアルトネットワークス合同会社によるセキュリティカンファレンス
Palo Alto Networks Day 2015 Tokyoについて詳細は⇒こちら

パロアルトネットワークス合同会社技術本部長乙部幸一朗氏

日本企業が標的。「訃報」を装った標的型攻撃メール

もし届いたメールのタイトルが「訃報」となっていたら、つい内容を確認したくなるだろう。そこに記載されている名前に見覚えがあれば、添付されているファイルも開いてしまうかもしれない。その開いたファイルが喪中葉書であれば完全に信じてしまう人もいるだろう。だが実は、開かれたファイルの裏で遠隔操作型(RAT)マルウェアがダウンロードされている。これが2015年の1月～3月に掛けて、日本の大手製造／鉄鋼企業に対して送りつけられた新種の標的型攻撃である。そしてこの実行犯は、中国江蘇省を拠点にするサイバー犯罪グループ「DragonOK」とみられている。「DragonOKは日本や台湾の製造業やハイテク産業を主な標的としています。今後も、日本企業に対して繰り返し攻撃を仕掛けてくる可能性は非常に高いでしょう」(乙部氏)

訃報を模して送られてきたマルウェアの例

巧妙化する標的型攻撃を防ぐための手段

海外のサイバー犯罪者集団でありながら、日本の習慣を熟知するかのような手口を使ってきたことに衝撃を受けた人も多かった。と同時に、この攻撃を発見し侵入を防いだことで、パロアルトが提供するセキュリティサービスへの注目も高まった。それが、世界規模でマルウェアの分析を行うクラウドサービス「WildFire」と、そこから得られる脅威情報を検索し、分析を行うサイバー脅威インテリジェント情報サービス「AutoFocus」ある。なお「AutoFocus」は2015年3月31日現在、米国において試験提供中のサービスとなっており、日本市場における提供は年内を予定しているとのことだ。ここに、エンドポイントにおける標的型攻撃を阻止する手段として「Traps」が加わる。

「標的型攻撃は年々巧妙化してきており、概知のパターンとマッチングする一般的なウィルス検知ソフトでは発見し難くなっています。そこでTrapsでは、脆弱性を突くテクニック(エクスプロイト)に注目し、そこから攻撃を検出する方法を取っています」(乙部氏) 多種多様に存在するサイバー攻撃の手段。だが、脆弱性を突くためのテクニックにはいくつかのパターンがあり、最終的には代表的な24種類のパターンに収束される。「Traps」では、それらに対して罠を仕掛け、悪意ある活動が動作する前に攻撃を阻止する。パロアルトでは、この3つのソリューションを基盤として、未知の標準型攻撃の検出と攻撃の阻止を可能としている。

2015年5月19日に開催されるカンファレンスでは、前述の訃報を模した標的型メールと、それを防いだパロアルトのサービスについて、詳細な説明が行われる。さらに3月に米国ラスベガスで開催され3,000名の参加者を集めた「Igniteユーザーカンファレンス」の情報についても公表される予定だ。

高度な技術と情報を持つ日本企業は、世界中のサイバー犯罪者にとっては格好の標的である。我が身を守るためにも、まずは知ることが大切。是非、多くの方に参加いただき、標的型攻撃の現状について知っていただきたい。