サイバーセキュリティ企業のトレンドマイクロ(東京都渋谷区)が、「国内標的型攻撃レポート・2021年版」を発表しました。これは2020年の1年間に同社が日本国内で観測・対応した標的型攻撃について考察したレポートだということです。
侵入手口にSNSやVPN脆弱性を悪用
トレンドマイクロの「国内標的型攻撃レポート・2021年版」によると、2020年に日本国内で発生した標的型攻撃の侵入手法は、海外拠点のサーバー侵害を発端としたネットワーク侵入、プライベートのSNS利用を経由したマルウェア感染、VPNの脆弱性を利用した直接侵入など一般的な侵入手口である標的型メールにとどまらず様々な侵入手法が見られたということです。また、標的とする企業の取引先や海外子会社など関連組織を侵害して踏み台として利用する「サプライチェーン攻撃」とみられる攻撃についても表面化したとしています。
標的型メールに関しては、2020年もフリーメールアドレスが送信メールに悪用される従来からの傾向が続いた一方、送信先については組織内メールアドレスにとどまらず個人のメールアドレスが狙われたり、新型コロナウィルス関係の件名やファイル名が使われるなど新型コロナウィルス感染やそれに伴う在宅勤務の増加といった状況を踏まえた攻撃が見られたということです。
また、標的型メールに添付されているファイルは、ほとんどがOffice文書ファルの直接添付、もしくは文書ファイルを格納した圧縮ファイルで、受信者がOffice文書ファルを開くと、内包する不正マクロから呼び出されたPowerShellやVBScriptなどによって感染に至ったということです。また添付された文書ファルに不正マクロを含まず、開かれた文書ファルが外部から不正マクロを含むテンプレートファイルを読み込むことで検知を回避する「テンプレートインジェクション」の手法も2020年には見られたということです。
C&Cのコールバックメッセージ暗号化も
標的型メール以外の侵入としては、VPNの脆弱性を悪用した侵入が2019年から引き続き観測されたほか、マイクロソフトのExchange Serverの脆弱性「CVE-2020-0688」が用いられたと推測される事例も観測しているということです。また、2020年8月に三菱重工業が発表した不正アクセス事案では、従業員が在宅勤務時に自宅で社内ネットワークを経由せずに外部ネットワークに接続してSNSを利用、ウィルスを含んだファイルをダウンロードしたことでこの従業員の社有パソコンが感染し、この従業員が出社して感染したパソコンを社内ネットワークに接続したため社内ネットワークに感染が拡大、トレンドマイクロは「巧妙な手口が国内の標的型攻撃で確認された珍しい事例」とコメントしています。
標的型メール等による侵入プロセスでは、ダウンローダーがC&CサーバーにアクセスしてRAT(バックドア型マルウェア)をダウンロードしますが、2020年の事例ではほとんどはRAT本体がDLL形式で、メモリ中で復号したコードを正規プロセスにインジェクションする「ファイルレス」の手法で実行され、検出回避と調査の困難化を狙う手法が常套化したということです。さらにC&Cサーバーとの通信を監視されるのを免れる手法やC&Cサーバーのコールバックメッセージを暗号化し、内容を隠す手口も常套化しているということです。
日本だけを狙っている?LODEINFO
2020年に日本の国内組織を狙った攻撃者についてトレンドマイクロは「BlackTeck」「menuPass」「LODEINFO」「Lazarus Group」「KONNI」の名前をあげています。トレンドマイクロによると、BlackTeckは台湾の法人組織を標的とした活動が確認されている攻撃者で2017年以降、日本での活動が観測されているということです。menuPassはAPT10と呼ばれる攻撃者で、国内での活動は見られなくなっていましたが、実際には国外を中心に日本関連組織に対するキャンペーンを展開していたということです。LODEINFOは日本以外での活動は確認されていない攻撃者で、どのような攻撃者なのか詳細はわかっていないということです。Lazarus Groupは北朝鮮を背景としたハッカーグループとして知られていますが、トレンドマイクロによると、従来は日本国外の組織をターゲットに活動していましたが、2020年前後から日本の国内組織を狙った攻撃が確認されているということです。KONNIはAPT37との関連が疑われている攻撃者だということです。
このほか2020年に確認された標的型攻撃には、ウクライナを攻撃しているとみられるGamaredon Groupや2020年12月にサイバーセキュリティ企業、FireEye社への攻撃で発覚したSUNBURSTについても日本国内において確認されているとのことですが、いずれも日本の国内組織を直接狙ったものではなく、Gamaredon Groupの攻撃については流れ弾的に日本国内の組織に感染したものであり、SUNBURSTについてはSolarWinds社製品経由だと推測されるということです。
■出典
https://www.trendmicro.com/ja_jp/about/press-release/2021/pr-20210916-01.html