マクニカネットワース株式会社 第2営業統括部統括部長 星野 喬 氏/技術統括部セキュリティサービス室 柳下 元氏/セキュリティ研究センター政本憲蔵氏/第2営業統括部第2営業部部長 山内治朗氏
日本国内の企業や政府機関、マスコミを狙う標的型攻撃(サイバーエスピオナージ)が活発化している。ここ最近、サイバー攻撃が新聞やニュースで大きく報じられることはなく、一般の目にはあまり気にとまらなくなっているかもしれない。
しかし、むしろ事態はますます深刻化している。ひとつには、攻撃の手法や技術が高度化していること、もうひとつは、攻撃の対象が政府機関や大企業だけでなく、研究機関、マスコミ、一般企業にまで拡大していることだ。
そして、何よりも注意を喚起すべきなのは、アジアの中で「日本の組織」が標的にされていることであり、それらの攻撃の多くが「国家絡み」であることだ。
その背景の事情は何か。高まる地政学リスクや、貿易や経済の緊張関係があることはいうまでもない。では具体的に誰が、どのような目的でサイバー攻撃をおこなっているのか。
今回、マクニカネットワークスがおこなった、標的型攻撃に対する「脅威インテリジェンス」サービスの発表では、そのあたりの背景事情と具体的な攻撃手法の調査にもとづく情報が公開された。
日本を狙う標的型攻撃、「Tick」と「BlackTech」
2019年の4月にマクニカネットワークスが発表した「標的型攻撃の実態と対策アプローチ」では、日本を狙う攻撃グループとして、「Tick」と「BlackTech」が紹介されており、今回の会見では柳下氏により、その内容が解説された。
まずはTickグループの紹介から。2016年ごろから、日本の国内のクリティカルインフラへの攻撃から始まり、2017年鉄鋼系企業、2018年重工業、衛星通信、化学、2019年化学、造船、通信への攻撃が行われた。
着弾したマルウェアとダウンローダーは、Datper, (Daserf, xxmm) などだ。
2018 年度に観測された標的型攻撃と標的業種
Tickは下の図のように攻撃の経路を変化させており、完全に日本を標的にしているため「海外の調査や研究機関からは報じられない」(マクニカネットワークス 柳下氏)という。今回の会見では明言はなかったが、上記のレポートでは「中国に拠点を置く攻撃グループ」によるものとされている。
Tickの攻撃アクティビティ
たとえば2018年の攻撃の例。「中国投資概況.ppsx」「2019年昇給率参考資料1.doc」といういかにも関心をひきそうな名前の文書ファイル、「支給品不都合確認票.exe」という実行ファイルだ。
2018年配送されるファイル
これらのファイルは以下のように、メールの添付で送られダウンローダーが起動し、メモリ上で展開される「RAT」という形式。ファイルではなくメモリ上でしか姿を現さないため検出されない。
2019年には通信関連製造と、半導体の関連素材を扱う化学企業、5G通信の競争が関連すると思われる日本企業の海外支社などが標的にされた。
攻撃のフロー
