レポートについて
2019年上半期 (4月から9月) に観測された、日本の組織に対する標的型攻撃(サイバーエスピオナージ)について、攻撃が観測された業種、攻撃グループの攻撃手法等の特徴、脅威に対する検出と緩和策、検知のインディケータをまとめました。
ステルス性の高い遠隔操作マルウェア (RAT) を用いる攻撃グループが関与したと思われる事案を中心に、新しい攻撃手法やその脅威の検出について記載しています。
日本企業のセキュリティ対策を考える上で、ご活用いただけると幸いです。
攻撃が観測された業種と傾向
2019年度上半期の観測では、メディア組織への攻撃が目立ちました。メディア組織への攻撃は、DarkHotel攻撃グループ による活動と分析しており、同攻撃グループによるものと思われる防衛関連組織への攻撃も観測されました。現在のところ、日韓情勢に関連して活動が若干活発化したのではないかと分析しています。続いて、化学と通信関連組織への攻撃が多く観測されました。攻撃グループは、Tick攻撃グループ によるものと分析しています。具体的な標的としては、5Gに関連した製造企業、化学では通信や半導体などハイテク素材の製造企業といった業種が標的になっていると分析しています。リサーチ関連、半導体、クリティカルインフラ系を標的として攻撃活動を行ったグループは、BlackTech攻撃グループ と分析しています。昨年の観測 では海洋技術や重工業の企業を標的とした活動があり、これまでとは異なった標的の特徴を見せています。BlackTech攻撃グループは、幅広い業種で攻撃が観測されており、国内の組織は引き続き注意警戒が必要だと思われます。
攻撃のタイムラインと攻撃の概要
以下は、4月から9月までの月ごとの攻撃グループの活動を表にしています。BlackTech攻撃グループとTick攻撃グループは、侵入に成功した場合継続した攻撃活動を見せていました。また、Tick攻撃グループは、昨年度から製造業を標的とした活動を継続しています。
タイムラインチャート
「標的型攻撃の実態と対策アプローチ ~日本を狙うサイバーエスピオナージの動向~」 目次
- はじめに
- 攻撃が観測された業種と傾向
- 攻撃のタイムラインと攻撃の概要
- 2019年4月(メディア)
- 2019年5月(研究関連、通信)
- 2019年7月(メディア、化学、半導体)
- 2019年8月(クリティカルインフラ)
- 攻撃のタイムラインと攻撃の概要
- DarkHotel
- BlackTech(最近のTTPsの変化)
- Tick
- 攻撃グループごとのTTPs(戦術、技術、手順)
- TTPsより考察する脅威の検出と緩和策
- マルウェアの配送について
- 攻撃について
- インストールされるRAT、遠隔操作(C&Cについて)
- 検知のインディケータ