「国内標的型サイバー攻撃分析レポート 2016年版」を公開

~地域の特性にあわせて柔軟に攻撃手法を変化させる攻撃者~

2016年5月10日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、以下、トレンドマイクロ)は、2015年(1~12月)の国内における標的型サイバー攻撃を分析したレポート「国内標的型サイバー攻撃分析レポート 2016年版」を、本日公開することをお知らせします。2015年の攻撃では、状況と目的に応じて攻撃を変化させる傾向が見られました。

「国内標的型サイバー攻撃分析レポート 2016年版」サマリ

 1.国内の状況を踏まえて、遠隔操作用サーバを国内に設置する事例が減少

 標的型サイバー攻撃の多くは、社内端末に侵入した遠隔操作ツールに対して、攻撃者が外部から指令を出し、対象組織のネットワーク探索や機密情報の窃取など不正な活動を行います。日本国内に設置された遠隔操作用サーバ(コマンド&コントロール(C&C)サーバ)は、2015年1月~6月の44%から7月~12月は27%に減少しました(グラフ1)(※1)。6月に多数の国内組織が情報漏えい被害を公表し、国内サーバ悪用への注目が集まったことを背景に、攻撃者が遠隔操作用サーバを海外へ移していると推測されます。

また、国内事業者の管理ドメインに設置された遠隔操作用サーバが46%を占めました(※2)。このうち9割以上が正規サイトを改ざんし、悪用していました(※2)。一方、海外では改ざんと判明した事例は6%にとどまりました(※3)。海外では正規サイトを改ざんせずとも、「防弾ホスティングサービス(※4)」 など攻撃を行うための不正なサービスが存在するため、攻撃者は地域の特性にあわせて柔軟に攻撃手法を変化させていることが伺えます。 

標的型サイバー攻撃の対策では、社内端末が普段通信を行わない不審な通信先(海外など)にアクセスがないか、通信を監視する取り組みが有効です。しかし最近では、国内の状況に合わせて攻撃者が遠隔操作用サーバの設置場所の変更などを行っています。企業・組織は社内端末の通信先の情報だけではなく、遠隔操作ツール特有の通信内容を監視することが重要です。また、Webサイトを運営する企業・組織においても、標的型サイバー攻撃の踏み台として悪用されないよう、Webサイトのセキュリティ対策を徹底することが必要です。

 ◆グラフ1:遠隔操作用サーバの設置国(左)(※1) と設置国推移(右)(※1)

(※1)  2015年1月~12月の期間に国内の法人ユーザからトレンドマイクロへ解析依頼のあった遠隔操作ツール100件を調査し、遠隔操作ツールが接続する遠隔操作用サーバが特定できた事例を、IPアドレスをもとに設置国別に集計。

(※2) 2015年1月~12月の期間に国内の法人ユーザからトレンドマイクロへ解析依頼のあった遠隔操作ツール100件を調査し、遠隔操作ツールが接続する遠隔操作用サーバのドメインが特定できた事例99件を、ドメイン管理者情報をもとにトレンドマイクロにて集計。

(※3) 遠隔操作用サーバの設置ドメインの管理者が特定できた事例のうち、改ざん被害の有無をトレンドマイクロにて集計。

(※4)  法執行機関などの捜査に協力しないことを謳う匿名化ホスティングサービス。bullet-proof hostingともいう。

 2.「潜伏型」と「速攻型」の標的型サイバー攻撃が国内で同時進行

近年の標的型サイバー攻撃は、侵入時の標的型メールの特徴や潜伏期間、痕跡消去の有無などから「潜伏型」と「速効型」の2種類に大別できます(表1)。2015年の当社の調査では、この傾向がより明確になってきました。これまで標的型サイバー攻撃は、長期間に渡り綿密な偽装工作を行う攻撃と考えられてきましたが、「速攻型」の攻撃により周辺組織の情報や主目的の組織内の事前情報を収集するなど、攻撃者の目的により使い分けが行われていると考えられます。このような攻撃の特徴から、「速効型」の標的型サイバー攻撃においては、業種・規模を問わず、どの企業・組織でも攻撃対象になり得ると言えます。

 ●表1:「潜伏型」と「速攻型」の特徴比較(※5)

(※5) 2015年にトレンドマイクロが標的型攻撃対応支援サービスを行った事例の特徴を整理。

3.単体の不審な通信イベントログのみでは、攻撃の有無を判別することが困難に

標的型サイバー攻撃を行う攻撃者は、遠隔操作ツールにより社内端末を乗っ取った後、図1に示すような内部活動により、ネットワーク内の他の端末にも侵入し、0~3のステップを踏んで目的の情報を窃取しようとします。管理者権限奪取のプロセスでは、「WCE(Windows Credential Editor)」や「MIMIKATZ」などこれまでに確認された正規ツールに加え、2015年は正規ツール「Quarks PwDump」の悪用も確認されました。これは、特定のツールの使用のみを監視していても、攻撃に気づかない可能性があることを示しています。

また当社がネットワーク監視を行った事例100社のうち、遠隔操作ツールが確認された事例と未確認の事例を比較すると、2種類以上の不審な通信イベントログが確認された事例では100%の確率で遠隔操作ツールが確認されました(表2)。一方で、1種類のみ不審な通信イベントログが確認された事例では、遠隔操作ツールの確認率は0%となりました。不審な通信イベントログ単体のみでは、標的型サイバー攻撃の有無を判断することが難しく、内部活動の攻撃シナリオに基づき、複数の不審な通信イベントログを組み合わせて監視することが重要といえます。

 ●図1:内部活動の攻撃シナリオと具体的なネットワーク上の挙動例

 ●表2:イベントログと遠隔操作ツールの確認件数(n=100)(※6)

(※6) 2015年1月~12月の期間に、トレンドマイクロがネットワーク監視を行った100社の事例を集計。


※TREND MICROはトレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。