トレンドマイクロは6月13日、国内外の標的型攻撃の動向に関するメディア向けセミナーを開催した。セミナーでは、同社が同日に公開した「国内標的型攻撃分析レポート 2023年版」の内容をベースに、国内のみで観測された個人を狙った標的型攻撃の動向が解説された。

【関連記事】
≪アタックサーフェスは「マネジメント」するだけでは攻撃を減らせない≫
≪アンダーグラウンド調査から判明、ランサムウェア攻撃グループの実態とは≫

重要情報を盗み取ることを目的としたサイバー攻撃

標的型攻撃はサイバー攻撃の一種で、重要情報の窃取(盗み取ること)や破壊活動、情報操作などを目的として特定の組織や個人を対象に継続的に行われる攻撃のことだ。

一般的に、特定の国家を背景に持つグループが中心になって攻撃活動を行っているとされている。攻撃対象とした標的により長い期間、継続的に攻撃を繰り返すものはAPT(Advanced Persistent Threat)攻撃とも呼ばれる。

攻撃者は攻撃対象に関する情報を収集し、セキュリティ上の脆弱性を見つけ出したうえで、ネットワークへの初期侵入を行う。その後、ネットワーク内を自由に活動するために特定の端末を制御し、重要情報などを探索・集約して外部に送り出す。

初期侵入の手法としては、業務などに関係あると誤認してしまうほど巧妙に作られた標的型メールや、ネットワーク機器の脆弱性を突いた攻撃、端末やクラウドサービスの認証を突破するような攻撃などが代表的だった。しかし、近年では、他のサイバー攻撃でもそうした手法が利用されているため、侵入の初期段階では標的型攻撃か、その他のサイバー攻撃かわかりにくくなっているという。

  • サイバー犯罪の多くが金銭的利益を目的としたものが多いのに対して、標的型攻撃は情報を盗み出すことを目的としている点が特徴だ

    サイバー犯罪の多くが金銭的利益を目的としたものが多いのに対して、標的型攻撃は情報を盗み出すことを目的としている点が特徴だ

民間のセキュリティベンダーや、政府機関である内閣サイバーセキュリティセンター(NISC)は攻撃者と攻撃手口を特定し、対策に活用するアトリビューションを実施している。

サイバー攻撃の技術的痕跡を収集・分析する技術的アトリビューションでは、使用ツールやマルウェアの特徴、サーバのIP、ドメイン、通信で使用されるプロトコルなど攻撃に使用されるインフラの特徴、侵入経路や攻撃の段取りなどの手法の特徴に着目し調査・分析を行う。

だが、トレンドマイクロ セキュリティエバンジェリストの岡本勝之氏は、「標的型攻撃は隠密性の高い攻撃のため全体像を掴むのが難しい。一組織で見えている範囲が情報の全てとは限らず、不確実な情報が含まれ得るため、攻撃の増減などの数値的データもあまり有効ではない。そのため、情報共有とともに、提供・公開されているさまざまな情報を組み合わせることが重要だ」と指摘した。

  • トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏

    トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏

「組織外の個人」を標的にする「LODEINFO」と「Earth Yako」

トレンドマイクロが2022年に観測した標的型攻撃の中で注目するのが、「LODEINFO(ロードインフォ)」(別名「MirrorFace」)というマルウェアを試用した攻撃グループと、「Earth Yako(アースヤコ)」(別名「Operation RestyLink」キャンペーン)という攻撃者グループだ。

LODEINFOは2019年12月からトレンドマイクロが観測しており、現在も継続して日本国内でのみ観測されている標的型攻撃となる。初期侵入として標的型メールを使用し、同メールに仕込むマルウェアの更新を頻繁に行うなど活発な活動が見られるという。主に公共関連組織、国際関係の組織・個人、メディア関連企業の組織・個人が標的にされている。

  • 「LODEINFO」はマルウェアの更新を継続している

    「LODEINFO」はマルウェアの更新を継続している

Earth Yakoは、2021年以降に日本や台湾で観測されている標的型攻撃で、初期侵入として標的型メールを使用し、数回のやり取りの後、参考資料などの名目でマルウェアをダウンロードさせる手口を多用するという。

こちらも、主に国内の学術機関・シンクタンクに所属する有識者やその関係者など、個人が標的にされている。また、これまでの攻撃では経済安全保障、エネルギー、経済、公共などの分野が特に狙われていたそうだ。

  • トレンドマイクロが観測した「Earth Yako」による個人を狙った標的型攻撃

    トレンドマイクロが観測した「Earth Yako」による個人を狙った標的型攻撃

岡本氏は2つの標的型攻撃に共通した特徴として、個人を対象とした攻撃である点と、国内外の情勢に連動した情報窃取活動である点を挙げた。

「特定分野の有識者などの『組織外の個人』が主要な攻撃対象となり、個人のフリーメールアドレスなどに標的型メールが届く。また、確固とした攻撃目標があるか不明瞭な攻撃が増加しており、その時々に価値のある情報を窃取しようとしているように見られる攻撃が散見される」(岡本氏)

サプライチェーン形成により標的型攻撃の特定が困難に

標的型攻撃に使用されるメールは、個人が業務や課外活動で日頃から受け取っている内容に似せて作成されているため、「自分に関係のあるメールだ」と思い込んで開封してしまうという。

セミナーでは、標的型メールの例が公開された。同メールは、個人に講演の依頼をする丁寧な内容の日本語で書かれており、指定するURLからの関連資料のダウンロードを促している。しかし、そうしたURLからマルウェアに感染するため注意が必要だ。

何かを依頼する内容のほかにも、あえて不完全な内容のメールを送ることで、標的とする個人からの返信を促そうとする「やり取り型メール」も攻撃に利用されるという。

  • 個人を狙った標的型攻撃に使用されるメールの例(トレンドマイクロ作成)

    個人を狙った標的型攻撃に使用されるメールの例(トレンドマイクロ作成)

個人のメールアドレスの流出原因は、組織からの個人情報流出だけではないという。例えば、学術機関や企業など複数の組織に勤務する研究者は、フリーメールアドレスを個人の連絡先として使用している場合が少なくない。トレンドマイクロでは、大学のシラバスやSNSにそうしたメールアドレスが掲載されていることを確認している。

加えて、トレンドマイクロでは標的型攻撃のサプライチェーン形成が進んでいるため、攻撃の目的や攻撃者などが特定困難になっていることに着目する。商用ツールやオープンツールなどの悪用など攻撃手法の共通化が進んでいる一方で、サイバー傭兵や攻撃者間の協力など攻撃そのものを委託する動きも観測されており、それらによって標的型攻撃への対策が難しくなっているという。

岡本氏はそうした動向を踏まえたうえで、「標的型攻撃については組織外の個人まで攻撃対象となっているということを認識し、いつもと異なるメールなどに注意を払ったり、多要素認証で個人の端末への侵入をしにくくしたりといった対策を取る必要がある。標的となっている業界は、啓発活動を連携して取り組むべきだ。今後も組織・業界・国をまたいだ情報共有活動が求められる」と結んだ。

  • 標的型攻撃の「特定困難化」が進む

    標的型攻撃の「特定困難化」が進む