トレンドマイクロは6月13日、国内外の標的型攻撃の動向に関するメディア向けセミナーを開催した。セミナーでは、同社が同日に公開した「国内標的型攻撃分析レポート 2023年版」の内容をベースに、国内のみで観測された個人を狙った標的型攻撃の動向が解説された。

【関連記事】
≪アタックサーフェスは「マネジメント」するだけでは攻撃を減らせない≫
≪アンダーグラウンド調査から判明、ランサムウェア攻撃グループの実態とは≫

重要情報を盗み取ることを目的としたサイバー攻撃

標的型攻撃はサイバー攻撃の一種で、重要情報の窃取(盗み取ること)や破壊活動、情報操作などを目的として特定の組織や個人を対象に継続的に行われる攻撃のことだ。

一般的に、特定の国家を背景に持つグループが中心になって攻撃活動を行っているとされている。攻撃対象とした標的により長い期間、継続的に攻撃を繰り返すものはAPT(Advanced Persistent Threat)攻撃とも呼ばれる。

攻撃者は攻撃対象に関する情報を収集し、セキュリティ上の脆弱性を見つけ出したうえで、ネットワークへの初期侵入を行う。その後、ネットワーク内を自由に活動するために特定の端末を制御し、重要情報などを探索・集約して外部に送り出す。

初期侵入の手法としては、業務などに関係あると誤認してしまうほど巧妙に作られた標的型メールや、ネットワーク機器の脆弱性を突いた攻撃、端末やクラウドサービスの認証を突破するような攻撃などが代表的だった。しかし、近年では、他のサイバー攻撃でもそうした手法が利用されているため、侵入の初期段階では標的型攻撃か、その他のサイバー攻撃かわかりにくくなっているという。

  • サイバー犯罪の多くが金銭的利益を目的としたものが多いのに対して、標的型攻撃は情報を盗み出すことを目的としている点が特徴だ

    サイバー犯罪の多くが金銭的利益を目的としたものが多いのに対して、標的型攻撃は情報を盗み出すことを目的としている点が特徴だ

民間のセキュリティベンダーや、政府機関である内閣サイバーセキュリティセンター(NISC)は攻撃者と攻撃手口を特定し、対策に活用するアトリビューションを実施している。

サイバー攻撃の技術的痕跡を収集・分析する技術的アトリビューションでは、使用ツールやマルウェアの特徴、サーバのIP、ドメイン、通信で使用されるプロトコルなど攻撃に使用されるインフラの特徴、侵入経路や攻撃の段取りなどの手法の特徴に着目し調査・分析を行う。

だが、トレンドマイクロ セキュリティエバンジェリストの岡本勝之氏は、「標的型攻撃は隠密性の高い攻撃のため全体像を掴むのが難しい。一組織で見えている範囲が情報の全てとは限らず、不確実な情報が含まれ得るため、攻撃の増減などの数値的データもあまり有効ではない。そのため、情報共有とともに、提供・公開されているさまざまな情報を組み合わせることが重要だ」と指摘した。

  • トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏

    トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏

「組織外の個人」を標的にする「LODEINFO」と「Earth Yako」

トレンドマイクロが2022年に観測した標的型攻撃の中で注目するのが、「LODEINFO(ロードインフォ)」(別名「MirrorFace」)というマルウェアを試用した攻撃グループと、「Earth Yako(アースヤコ)」(別名「Operation RestyLink」キャンペーン)という攻撃者グループだ。

LODEINFOは2019年12月からトレンドマイクロが観測しており、現在も継続して日本国内でのみ観測されている標的型攻撃となる。初期侵入として標的型メールを使用し、同メールに仕込むマルウェアの更新を頻繁に行うなど活発な活動が見られるという。主に公共関連組織、国際関係の組織・個人、メディア関連企業の組織・個人が標的にされている。

  • 「LODEINFO」はマルウェアの更新を継続している

    「LODEINFO」はマルウェアの更新を継続している

Earth Yakoは、2021年以降に日本や台湾で観測されている標的型攻撃で、初期侵入として標的型メールを使用し、数回のやり取りの後、参考資料などの名目でマルウェアをダウンロードさせる手口を多用するという。

この記事は
Members+会員の方のみ御覧いただけます

ログイン/無料会員登録

会員サービスの詳細はこちら