Skip to content

プレスリリース

-2013年上半期国内における持続的標的型攻撃(APT)を分析-

全ての攻撃※1で侵入後に正規ツールを利用し攻撃を「隠蔽」
組織内で利用する正規ツールとその使用者や実行元の再確認を

2013年8月21日


 トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、以下、トレンドマイクロ)は、2013年上半期(1~6月)国内における持続的標的型攻撃(APT:Advanced Persistent Threat)に関する分析レポートを本日公開したことをお知らせします。
○2013年上半期 国内における持続的標的型攻撃の分析レポート:
https://app.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=81

2013年上半期 国内における持続的標的型攻撃の分析レポートのサマリ

 2013年上半期の国内における持続的標的型攻撃では、侵入時の攻撃が成功した後、内部のネットワーク探索や目的の情報を窃取するための活動において、調査対象20社全ての攻撃※1で主にシステム管理者が用いる正規ツール(遠隔管理ツール「PSEXEC」、ファイル消去ツール「SDelete」など)を利用し攻撃を「隠蔽」する傾向がみられました。ユーザは、組織内で利用する正規ツールとその使用者や実行元を再確認し、正規ツールを利用する攻撃を特定することで、被害を防止できます。また、感染したバックドアと外部のC&C(コマンドアンドコントロール)サーバとの通信において、独自プロトコルを利用した通信が前年同期比約1.8倍の47%※2に増加しました。社内サービスで利用するポート・プロトコルの組み合わせから、非標準的な通信を遮断する対策を講じることをお勧めします。さらに、侵入時においては、2013年上半期に見つかった一太郎の脆弱性を狙うゼロデイ攻撃や、日本語のファイル名(貴社の製品故障について、取材依頼書、打ち合わせ議事録、緊急地震速報訓練の協力についてなど)を用いて標的を騙す攻撃を確認しています。修正プログラムの適用やメールの内容から不正か否かを判断し侵入を防ぐことが難しいため、攻撃の侵入を防ぐ入口対策だけではなく、万が一の侵入に備えた出口対策を講じることをお勧めします。
※1 2013年上半期に持続的標的型攻撃を受けた組織から20社を無作為に抽出し調査
※2 持続的標的型攻撃に使用されたバックドア(2012年上半期50個、2013年上半期100個)を調査

■侵入後: 調査対象20社全ての攻撃※1で正規ツールを利用し攻撃を「隠蔽」
・ 侵入後の不正活動で用いられる正規ツールの例
遠隔管理ツール「PSEXEC」:他のPC/サーバへコピーした不正プログラムを実行するために使用
ファイル消去ツール「SDelete」:活動痕跡を消去する目的でファイルを復旧出来ないよう削除
・ ウェルノウンポート※3を利用するバックドア:2012年上半期 92% ⇒ 2013年上半期 88%※2
・ 独自プロトコルを利用するバックドア:2012年上半期 26% ⇒ 2013年上半期 47%※2
・ ウェルノウンポートかつ独自プロトコルを利用するバックドア:2012年上半期 20% ⇒ 2013年上半期 37%※2
※3 TCP/IPの主要なプロトコルで使用されるポート番号(0~1023)。通常httpは80番、httpsは443番、SMTPは25番が使用される。

■侵入時: 一太郎の脆弱性を狙うゼロデイ攻撃や日本語のファイル名を用いて標的を騙す攻撃を確認
・ 一太郎の脆弱性を狙うゼロデイ攻撃 :2013年上半期 3%※4
・ 日本語のファイル名を用いて標的を騙す攻撃 :2013年上半期 60%※4
※4 持続的標的型攻撃に使用されたメールの添付ファイル(2013年上半期100個)を調査

※TRENDMICROはトレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。