標的型攻撃の実態と対策アプローチ第4版日本を狙うサイバーエスピオナージの動向 2019年度下期 - マクニカ - セキュリティ事業

セキュリティ事業メニュー

セキュリティ事業
HOME

選ばれる
理由

サービス

取扱メーカー

事例・レポート・
ブログ・用語集

セミナー・
オンデマンド動画

イベント・セミナー

オンデマンド動画

レポートについて

日本の組織を標的とし活動を行う攻撃者グループに関してマクニカとTeamT5が行った調査をまとめたものです。

2019年度 (2019年4月～2020年3月) に観測された日本の組織から機密情報 (個人情報、政策関連情報、製造データなど) を窃取しようとする攻撃キャンペーンについて、注意喚起を目的として記載します。

また、2019年度下期に観測されたステルス性の高い遠隔操作マルウェア (RAT) を用いた事案を中心に、新しい攻撃手法やその脅威の検出について記載しています。最後に、本文中で紹介した攻撃キャンペーンで使われたインディケータを掲載しています。

攻撃が観測された業種と傾向

2019年度の攻撃動向は、前年度の観測¹から継続して、TickとBlackTech攻撃グループの活動が活発であるものの、今年度は日本を標的としてきた攻撃グループ数は減少していると分析しています。上期にメディアを標的としたDarkHotel攻撃グループの活動が増加したため、メディアを標的とした攻撃が全体的に多くなっています。下期に入って、ITサービス系の企業を標的としたBlackTech攻撃グループの活動が観測されています。昨年度の観測では、BlackTech攻撃グループの標的業種は製造業を中心としていましたが、今年度はリサーチ、クリティカルインフラ、ITサービスなど多岐に渡っており、製造業の技術情報だけでなく、個人情報、ビジネスインテリジェンスをも標的にしている可能性があるのではないかと分析しています。また、大手電気系企業2社は、2017年、2018年頃に標的攻撃を受けていた事を公表しています²³⁴。報道によると、大手電気系企業の1社は、TickとBlackTech攻撃グループによって侵害をうけ、自社の情報に加え、防衛省等の複数の官公庁、電力、通信、鉄道、自動車などの様々な情報が不正アクセスされたといいます。また、報道によると、この大手電気系企業は中国の拠点が最初に侵害され、アンチウイルス製品のサーバの脆弱性が攻撃され、製品の更新機能の悪用によって感染が拡大し、本社へ侵入されたとされます⁵。アンチウイルス製品の管理サーバの脆弱性で、ファイルの差し替えや任意のコード実行を許可し、感染拡大につながるような脆弱性として、CVE-2019-9489、CVE-2019-18187があげられ、警戒情報があがっています⁶⁷。昨年、一昨年と弊社報告の統計には、これらインシデントはカウントしていないため、標的型攻撃については発見や検出が困難であり、侵入を検出するまでにも時間がかかる厄介な問題である事が再認識されています。本書の統計は氷山の一角ととらえ、ここで記載する攻撃手法も参考にして頂き、注意警戒を怠らないようにして頂ければと思います。

図1. 標的組織のパイチャート (2019年度)

攻撃のタイムラインと攻撃の概要

以下は、4月から3月までの月ごとの攻撃グループの活動を表にしています。9月以降、TickとBlackTech攻撃グループの新規の活動が低下していると分析しています。一方、足場を作った組織への攻撃活動は継続しており、後半に入って9月に化学系組織でTickグループの活動、2月にITサービス系企業でBlackTech攻撃グループの活動が検出されています。また、12月と1月に攻撃グループへの帰属はまだできていないものの、APT10攻撃グループが過去の攻撃で利用したANELマルウェア⁸に似たつくりのRAT (LODEINFO) を使った攻撃が観測されています。

表1. 2019年タイムライン

「標的型攻撃の実態と対策アプローチ第4版」目次

はじめに
攻撃が観測された業種と傾向
攻撃のタイムラインと攻撃の概要
- 2019年9月（化学）
- 2019年12月（メディア）
- 2020年1月（防衛関連）
- 2020年2月（ITサービス）
新しいTTPsやRATなど
- Tick
- BlackTech
- LODEINFO
攻撃グループについて
- Tick（Nian）
- BlackTech（Huapi）
攻撃グループごとのTTPs（戦術、技術、手順）
TTPsより考察する脅威の検出と緩和策
- マルウェアの配送・侵入攻撃について
- インストールされるRAT、遠隔操作（C&Cについて）
- 侵入拡大・目的実行
検知のインディケータ