Mpression Cyber Security Service™

エムプレッション サイバーセキュリティサービス
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU

Mpression Cyber Security Service™

エムプレッション サイバーセキュリティサービス

標的型攻撃の実態と対策アプローチ 第4版 日本を狙うサイバーエスピオナージの動向 2019年度下期

標的型攻撃の実態と対策アプローチ 第4版

レポートについて

日本の組織を標的とし活動を行う攻撃者グループに関してマクニカネットワークスとTeamT5が行った調査をまとめたものです。

2019年度 (2019年4月~2020年3月) に観測された日本の組織から機密情報 (個人情報、政策関連情報、製造データなど) を窃取しようとする攻撃キャンペーンについて、注意喚起を目的として記載します。

また、2019年度下期に観測されたステルス性の高い遠隔操作マルウェア (RAT) を用いた事案を中心に、新しい攻撃手法やその脅威の検出について記載しています。最後に、本文中で紹介した攻撃キャンペーンで使われたインディケータを掲載しています。

攻撃が観測された業種と傾向

2019年度の攻撃動向は、前年度の観測1から継続して、TickとBlackTech攻撃グループの活動が活発であるものの、今年度は日本を標的としてきた攻撃グループ数は減少していると分析しています。上期にメディアを標的としたDarkHotel攻撃グループの活動が増加したため、メディアを標的とした攻撃が全体的に多くなっています。下期に入って、ITサービス系の企業を標的としたBlackTech攻撃グループの活動が観測されています。昨年度の観測では、BlackTech攻撃グループの標的業種は製造業を中心としていましたが、今年度はリサーチ、クリティカルインフラ、ITサービスなど多岐に渡っており、製造業の技術情報だけでなく、個人情報、ビジネスインテリジェンスをも標的にしている可能性があるのではないかと分析しています。また、大手電気系企業2社は、2017年、2018年頃に標的攻撃を受けていた事を公表しています234。報道によると、大手電気系企業の1社は、TickとBlackTech攻撃グループによって侵害をうけ 、自社の情報に加え、防衛省等の複数の官公庁、電力、通信、鉄道、自動車などの様々な情報が不正アクセスされたといいます。また、報道によると、この大手電気系企業は中国の拠点が最初に侵害され、アンチウイルス製品のサーバの脆弱性が攻撃され、製品の更新機能の悪用によって感染が拡大し、本社へ侵入されたとされます5。アンチウイルス製品の管理サーバの脆弱性で、ファイルの差し替えや任意のコード実行を許可し、感染拡大につながるような脆弱性として、CVE-2019-9489、CVE-2019-18187があげられ、警戒情報があがっています67。昨年、一昨年と弊社報告の統計には、これらインシデントはカウントしていないため、標的型攻撃については発見や検出が困難であり、侵入を検出するまでにも時間がかかる厄介な問題である事が再認識されています。本書の統計は氷山の一角ととらえ、ここで記載する攻撃手法も参考にして頂き、注意警戒を怠らないようにして頂ければと思います。

図1. 標的組織のパイチャート (2019年度)

攻撃のタイムラインと攻撃の概要

以下は、4月から3月までの月ごとの攻撃グループの活動を表にしています。9月以降、TickとBlackTech攻撃グループの新規の活動が低下していると分析しています。一方、足場を作った組織への攻撃活動は継続しており、後半に入って9月に化学系組織でTickグループの活動、2月にITサービス系企業でBlackTech攻撃グループの活動が検出されています。また、12月と1月に攻撃グループへの帰属はまだできていないものの、APT10攻撃グループが過去の攻撃で利用したANELマルウェア8に似たつくりのRAT (LODEINFO) を使った攻撃が観測されています。

表1. 2019年タイムライン

「標的型攻撃の実態と対策アプローチ 第4版」目次
1.はじめに
2.攻撃が観測された業種と傾向
3.攻撃のタイムラインと攻撃の概要
3.1 2019年9月(化学)
3.2 2019年12月(メディア)
3.3 2020年1月(防衛関連)
3.4 2020年2月(ITサービス)
4.新しいTTPsやRATなど
4.1 Tick
4.2 BlackTech
4.3 LODEINFO
5.攻撃グループについて
5.1 Tick(Nian)
5.2 BlackTech(Huapi)
6.攻撃グループごとのTTPs(戦術、技術、手順)
7.TTPsより考察する脅威の検出と緩和策
7.1 マルウェアの配送・侵入攻撃について
7.2 インストールされるRAT、遠隔操作(C&Cについて)
7.3 侵入拡大・目的実行
8.検知のインディケータ

1 https://www.macnica.net/mpressioncss/feature_03.html/
2 https://www.asahi.com/articles/ASN1M6VDSN1MULFA009.html
3 https://www.mitsubishielectric.co.jp/news/2020/0212-b.pdf
4 https://jpn.nec.com/press/202001/20200131_01.html
5 https://www.asahi.com/articles/ASN1P6TGLN1PUTIL02V.html
6 https://www.jpcert.or.jp/at/2019/at190034.html
7 https://www.jpcert.or.jp/at/2019/at190041.html
8 https://jsac.jpcert.or.jp/archive/2019/pdf/JSAC2019_6_tamada_jp.pdf

第1版(2016年)はこちら

第2版(2018年度下期版)はこちら

第3版(2019年度上期版)はこちら