Skip to content

セキュリティマガジン TREND PARK

2つの事例からみる標的型サイバー攻撃の脅威

計画的に行われる攻撃方法の実態に迫る


持続的標的型攻撃(APT)が引き続き注目を集めています。企業や組織を標的とするこの攻撃では、攻撃者は明確な目的を持ってターゲットのネットワークへ侵入し、長期間潜伏して機密情報などの知的財産を窃取します。今回は、持続的標的型攻撃の中で、「Luckycat」と「IXESHE」と呼ばれる2つの大規模な攻撃を例に、企業や組織がどのような脅威にさらされているかを解説し、必要な対策を紹介します。

明確な目的を持って、執拗に攻撃 ―「Luckycat」「IXESHE」2つの大規模な攻撃事例

特定の企業や組織に狙いを定めて行われる持続的標的型攻撃が猛威を振るっています。この攻撃は、特定の企業や組織だけが持つ情報を窃取することを目的として行われるサイバー攻撃です。クレジットカード番号や銀行口座の情報を窃取することを目的として無差別に行われる攻撃とは異なり、ターゲットを定め、その情報を確実に得るために計画的に実行されます。

攻撃は、特定の産業、組織に的を絞って仕掛けられる傾向があり、攻撃する目的が明確なため、その目的を達成するまで執拗に繰り返されます。トレンドマイクロでは、この一連の作戦行動を「キャンペーン」と呼び、警告しています。トレンドマイクロでは、主にインドや日本の企業および組織を狙う「Luckycat」と、これまで世界で40以上の作戦活動を展開してきた「IXESHE」の2つのキャンペーンの存在を突き止めました。

これらを詳細に分析した結果、「Luckycat」では航空宇宙、運輸、エネルギー、軍事研究、エンジニアリング、チベット人活動家などの産業やコミュニティに的を絞って攻撃していると見られ、「IXESHE」は東アジア圏の政府機関や台湾の電機メーカ、ドイツの通信事業会社を標的としていることが明らかになりました。これら2つの攻撃活動の詳細を分析することにより、持続的標的型攻撃が実際にどのように行われているかの一端が明らかになりました。

攻撃活動の成否を追跡し、より高度な攻撃に

「Luckycat」と「IXESHE」の2つの攻撃活動に共通する点の一つとして、ターゲット組織の内部にいるユーザに電子メールを送りつけ、それに添付したファイルを開かせることにより不正プログラムに感染させる攻撃手口が挙げられます。具体的には、Adobe ReaderやMicrosoft Officeの脆弱性を悪用し、不正プログラムが仕込まれ正規文書に偽装されたPDFファイルや文書ファイルをコンピュータ上で実行させることで不正プログラムに感染させています。人間の心理やすきを突くソーシャル・エンジニアリングと呼ばれる手法を用い、電子メールの件名や本文、差出人を偽装して、あたかも業務上必要な文書であるかのように装って、ターゲットに不正なプログラムが仕込まれたファイルを開かせるのです。標的となる企業や組織の内部環境を調べ上げ、ターゲットとする組織内個人ごとに内容を変えて送付することも明らかになっています。

図1: 「Luckycat」で標的型メールに使用された不正プログラムの例

情報が記載された文書ファイルに見えるが、不正プログラムが仕掛けられている

不正プログラムが仕掛けられた文書ファイルの画像

また、それぞれの不正プログラムに、どのキャンペーンにおける攻撃なのかを示す固有のコード(ID)が付与されているのも両攻撃に共通に見られる特徴です。これをトレンドマイクロでは、「キャンペーンコード」と読んでいます。「Luckycat」では"1122gmail"や"1122other"、"0613deliinfo"、「IXESHE」では"JUST_JP_6080"や"MAIL_20091208"など様々なコードが確認されました。これらのキャンペーンコードに含まれる文字列は狙われた産業または企業、つまり標的を示唆しており、数値は該当するキャンペーンが開始された日付を参照していると考えられます。攻撃者が「いつ」、「どんな不正プログラムによる攻撃で「どの標的が感染したかをトラッキングし、ターゲットに対する攻撃をより洗練させるための細工を仕組んでいるのです。

記事公開日 : 2012.06.29

ページの先頭へ