「国内標的型サイバー攻撃分析レポート 2017年版」を公開

~巧妙な攻撃手法を用いる遠隔操作型ウイルス「CHCHES」を新たに確認~

2017年5月9日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、以下、トレンドマイクロ)は、2016年(1~12月)の国内における標的型サイバー攻撃を分析したレポート「国内標的型サイバー攻撃分析レポート 2017年版:巧妙化と高度化を続ける『気づけない』攻撃」を、本日公開することをお知らせします。2016年は、侵入時と内部活動時に巧妙な攻撃手法を用いる遠隔操作型ウイルス「CHCHES(チェチェス)」を新たに確認しました。

国内標的型サイバー攻撃分析レポート 2017年版 全文:http://www.go-tm.jp/apt2017

「国内標的型サイバー攻撃分析レポート 2017年版」サマリ

1.巧妙な攻撃手法を用いる遠隔操作型ウイルス「CHCHES(チェチェス)」を新たに確認

2016年の国内の標的型サイバー攻撃の事例では、新たな遠隔操作型ウイルス「CHCHES」、「KVNDM(ケイブイエヌディーエム)」が確認され、2015年に国内で猛威を振るった「EMDIVI(エムディビ)」の検出は1%まで低下しました(グラフ1)。こうしたことから、2016年は国内標的型サイバー攻撃で利用される遠隔操作型ウイルスの代替わりの年と言えるでしょう。
2016年の新種の中でも、2016年10月ごろから確認されている「CHCHES」は、内部活動時に用いるファイルの暗号化に、感染端末固有のシステム情報を使用するため、別の環境での復号・分析を困難にします。さらには、組織内ネットワークへの初期潜入と内部活動時に、Windows7以降のOSに標準搭載されている正規アプリケーション「PowerShell」へ命令を渡すだけの「.LNKファイル」を用い、「.EXEファイル」や「.SCRファイル」といった実行形式のファイルを用いない「ファイルレス」の攻撃を行います(図1)。このような手法を用いることで、これまで標的型サイバー攻撃で主に利用されていた実行形式のファイルの使用を抑え、攻撃の検知や痕跡から追跡されることを回避する攻撃者の意図が読み取れます。
こうしたファイルレスの攻撃に対しては、侵入時の標的型メール対策や内部活動時の組織内ネットワークの監視技術など様々な技術の組み合わせで対抗することが重要です。また、業務上「PowerShell」が必要なければ、従業員の端末上でこれを無効化しておくことも有効です。

◆グラフ1:国内標的型サイバー攻撃で使用された遠隔操作型ウイルス種別割合(2015年・2016年)(※1)

国内標的型サイバー攻撃で使用された遠隔操作型ウイルス種別割合(2015年・2016年)

(※1) 2015年1月~12月および2016年1月~12月期間に国内の法人ユーザからトレンドマイクロへ解析依頼のあった遠隔操作型ウイルス100件を調査。遠隔操作型ウイルス「PLUGX」は、株式会社 地理情報開発から提供されているPlugX(R)シリーズとは無関係な不正なプログラムです。

◆図1:「CHCHES」の侵入方法イメージ図(※2)

「CHCHES」の侵入方法イメージ図

(※2) 実際の調査結果をもとにしたイメージ図です。一部動作を簡略化しています。

2.国内法人向けアプリケーションのゼロデイ脆弱性をついた侵入事例を確認

2016年11月には、日本製の法人向け資産管理ソフト「SKYSEA Client View」のゼロデイ脆弱性を悪用した、遠隔操作型ウイルス「KVNDM」の侵入事例を確認しました。2013年3月に韓国の主要企業に対して行われたサイバー攻撃では、組織内コンピュータを管理するために使われる韓国製の「集中管理ツール」の仕組みが内部活動時に悪用されており(※3)、標的型メールを使用しない同様の攻撃が日本でも確認された事例と言えます。
標的型サイバー攻撃を行う攻撃者は、しばしば標的の組織内で利用されているアプリケーションの脆弱性を探して攻撃に悪用します。攻撃者に狙われるのはMicrosoft OfficeやAdobe Readerなど世界的に利用されているものに限らず、主に国内で利用されているアプリケーションの脆弱性も狙われる可能性があるため注意が必要です。2016年11月に確認された事例では、すでにアプリケーションを開発している企業から更新プログラムが配布されているため、該当のアプリケーションを利用中の法人ユーザは直ちに更新プログラムを適用すべきです。

(※3) トレンドマイクロセキュリティブログより。

3.標的型メールの「騙しの手口」がさらに巧妙化

2016年に国内で確認された標的型メールで使用された騙しの手口には、2015年と同じく「会議・行事関連」、「報告」など受信者の業務に関連する内容が使用されていました。さらに、特筆すべき手口として、学生やフリーランス・組織のOBといった組織外の関係者に偽装することで、フリーメールの使用を不審に思わせない手口や、「受信者の組織を偽装したなりすましメールではないか」という名目で、添付ファイルを開かせようとする「なりすまし確認の偽装」の手口が確認されました。
攻撃者は、標的組織内の従業員にいかに侵入時のメールを開かせるかに腐心し、そのソーシャルエンジニアリングの手法をさらに巧妙化させています。セキュリティ担当者にとっては従業員に、どのような文面の標的型メールが存在するのか手口の共有を都度行うとともに、セキュリティ意識の向上を目的とした定期的な教育の機会を設けることがますます重要となっています。

◆図2:「なりすまし確認の偽装」メールのイメージ(実例をもとにトレンドマイクロで作成)

「なりすまし確認の偽装」メールのイメージ(実例をもとにトレンドマイクロで作成)

2016年に、当社による国内法人組織のネットワーク監視で検出された標的型サイバー攻撃の疑いのある通信は、月平均で約40万件に上ります(※4)。これは2015年の月平均(約26万件(※4))と比較しても、約1.5倍に増加しています。この数値は、あくまで標的型サイバー攻撃の疑いを示すだけではあるものの、セキュリティ対策を行う担当者は、日々増大する疑わしい通信や挙動のログを分析する必要性に迫られています。膨大なログの中から攻撃の有無を判断するには、標的型サイバー攻撃を行う攻撃者特有の行動特性を掴んだ上で、通信や挙動の相関分析を行えるような組織内ネットワークの監視体制をとることが重要です。

(※4) 2015年1月~12月および2016年1月~12月 当社による国内組織のネットワーク監視で検出された標的型サイバー攻撃の疑いのある通信を集計。

※ TREND MICROはトレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。