-日本国内の標的型サイバー攻撃を分析したレポートを公開-

標的型サイバー攻撃の発見・追跡を困難にする隠蔽工作が高度化

~遠隔操作用サーバが国内に設置される事例の割合が昨年対比7倍以上に増加~

2015年4月15日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、以下、トレンドマイクロ)は、2014年(1~12月)の国内における標的型サイバー攻撃を分析したレポート「国内標的型サイバー攻撃分析レポート 2015年版」を、本日公開することをお知らせします。

 

「国内標的型サイバー攻撃分析レポート 2015年版」サマリ

1.遠隔操作用サーバが国内に設置される事例の割合が昨年対比7倍以上に増加
標的型サイバー攻撃の多くは、社内端末に侵入した遠隔操作ツールに対して、攻撃者が外部から指令を出し、対象組織のネットワーク探索や機密情報の窃取など不正な活動を行います。2014年は、国内の標的型サイバー攻撃において、日本国内に設置された遠隔操作用サーバ(コマンド&コントロール(C&C)サーバ)が利用された事例の割合が2013年と比較して7倍以上に増加し、44%(36件)となりました(グラフ1)。また、日本国内に設置され攻撃に利用された遠隔操作用サーバの約94%の32件が、正規Webサイトを改ざんし、遠隔操作用サーバとして使用されていたことも確認しました。

標的型サイバー攻撃の対策では、攻撃の早期発見や、攻撃が発覚した際の追跡調査の取り組みとして、社内端末が普段通信を行わない不審な通信先(海外のコンピュータなど)にアクセスがないか、通信を監視する取り組みが有効です。しかし、2014年の標的型サイバー攻撃は、日本国内の改ざんされた正規Webサイトを遠隔操作用サーバとして使用し、攻撃の発見を困難にする隠蔽工作を行っていることが伺えます。こうした隠蔽工作を見破るためには、通信先だけではなく、遠隔操作ツール特有の通信内容(特定の文字列など)といった標的型サイバー攻撃に対する知見を持って、通信を監視することが重要です。

◆グラフ1:国内の標的型サイバー攻撃で利用された遠隔操作用サーバの設置国(2013年と2014年)(※1)

※1 それぞれ2013年1月~12月、2014年1月~12月の期間に国内の法人ユーザからトレンドマイクロへ解析依頼のあった遠隔操作ツール100件を調査し、遠隔操作ツールが接続する遠隔操作用サーバが特定できた事例を、IPアドレスをもとに設置国別にトレンドマイクロにて集計(1検体が複数の遠隔操作用サーバへ接続する際は、複数カウントしています)。

2.社内システムへのログオンエラーが多い事例(※2)ほど、遠隔操作ツールの発見率が上昇
当社がネットワーク監視を行った事例のうち、社内システムへのログオンエラーが、月100件以上~500件未満だった場合、遠隔操作ツールが見つかった事例は50%でした。しかし、ログオンエラーが月500件以上の事例では、90%以上の事例で遠隔操作ツールが社内から見つかりました(グラフ2)。
巧妙に隠蔽された標的型サイバー攻撃でも、ログオンエラー回数や通信が行われた時間帯など、社内ネットワークの挙動を監視することで、不審な活動を早期に発見できる可能性があります。

◆グラフ2:国内法人ユーザの社内システムへのログオンエラーの数と遠隔操作ツールの発見割合(※3)

※2 当社ネットワーク監視製品による、ログオンエラー警告数を指します。ログオンエラーの警告は、一定の期間内にIT管理者が設定した回数以上ログオンエラーが確認された際に、ネットワーク監視製品からIT管理者に行われます。
※3 2014年1月~12月の期間に、トレンドマイクロがネットワーク監視を行った100件を集計。

3.標的のログ収集活動内容に合わせて、事前にログを消去する活動を初めて確認
標的型サイバー攻撃の発見・追跡には、社内ネットワークの挙動監視のほか、事前に端末上のプログラムの挙動(ファイルやレジストリの作成・変更、外部との通信履歴など)を日々記録しておき、社内のシステム状況を一元管理するSIEM(Security Information and Event Management)などを用いて標的型サイバー攻撃の有無を察知する対策が有効です。
しかし、今回の調査では、攻撃者が端末内のログ収集用プログラムの停止や、ログ収集時間に合わせて事前にログを消去する活動を初めて確認しました。企業・組織のIT担当者が端末内のログを収集するより前に、ログが削除されている場合、本来収集すべき不正活動に関する情報が収集できず、攻撃の発見・追跡を行うことが難しくなります。これは企業・組織での攻撃の発見・追跡を回避するため、攻撃者が隠蔽工作をより高度化させていることを示しています。今後は、社内ネットワークの挙動だけではなく、PCやサーバなど社内端末ごとに行われる不審な挙動を端末内で独自に監視する仕組みが必要です。

※ TREND MICROは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。