Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

国家絡みで日本を狙うサイバースパイに、脅威インテリジェンスで備えよ

edited by Security Online   2019/09/03 06:00

 高まる地政学リスクや、国家間の緊張関係の中で、日本の組織を対象にした標的型攻撃が増えている。中でも「Tick」や「BlackTech」といった攻撃グループは、明らかに国家絡みで「日本」を標的にしており、高度なマルウェアで情報を簒奪しているという。こうしたサイバー攻撃に備えるための「脅威インテリジェンス」について、マクニカネットワークスが会見をおこなった。

マクニカネットワース株式会社 第2営業統括部 統括部長 星野 喬 氏/技術統括部 セキュリティサービス室 柳下 元氏/セキュリティ研究センター政本憲蔵氏/第2営業統括部第2営業部部長 山内治朗氏

マクニカネットワース株式会社 第2営業統括部統括部長 星野 喬 氏/技術統括部セキュリティサービス室 柳下 元氏/セキュリティ研究センター政本憲蔵氏/第2営業統括部第2営業部部長 山内治朗氏

 日本国内の企業や政府機関、マスコミを狙う標的型攻撃(サイバーエスピオナージ)が活発化している。ここ最近、サイバー攻撃が新聞やニュースで大きく報じられることはなく、一般の目にはあまり気にとまらなくなっているかもしれない。

 しかし、むしろ事態はますます深刻化している。ひとつには、攻撃の手法や技術が高度化していること、もうひとつは、攻撃の対象が政府機関や大企業だけでなく、研究機関、マスコミ、一般企業にまで拡大していることだ。

 そして、何よりも注意を喚起すべきなのは、アジアの中で「日本の組織」が標的にされていることであり、それらの攻撃の多くが「国家絡み」であることだ。

 その背景の事情は何か。高まる地政学リスクや、貿易や経済の緊張関係があることはいうまでもない。では具体的に誰が、どのような目的でサイバー攻撃をおこなっているのか。

 今回、マクニカネットワークスがおこなった、標的型攻撃に対する「脅威インテリジェンス」サービスの発表では、そのあたりの背景事情と具体的な攻撃手法の調査にもとづく情報が公開された。

日本を狙う標的型攻撃、「Tick」と「BlackTech」

 2019年の4月にマクニカネットワークスが発表した「標的型攻撃の実態と対策アプローチ」では、日本を狙う攻撃グループとして、「Tick」と「BlackTech」が紹介されており、今回の会見では柳下氏により、その内容が解説された。

 まずはTickグループの紹介から。2016年ごろから、日本の国内のクリティカルインフラへの攻撃から始まり、2017年鉄鋼系企業、2018年重工業、衛星通信、化学、2019年化学、造船、通信への攻撃が行われた。
着弾したマルウェアとダウンローダーは、Datper, (Daserf, xxmm) などだ。

2018 年度に観測された標的型攻撃と標的業種

2018 年度に観測された標的型攻撃と標的業種

 Tickは下の図のように攻撃の経路を変化させており、完全に日本を標的にしているため「海外の調査や研究機関からは報じられない」(マクニカネットワークス 柳下氏)という。今回の会見では明言はなかったが、上記のレポートでは「中国に拠点を置く攻撃グループ」によるものとされている。

Tickの攻撃アクティビティ

Tickの攻撃アクティビティ

 たとえば2018年の攻撃の例。「中国投資概況.ppsx」「2019年昇給率参考資料1.doc」といういかにも関心をひきそうな名前の文書ファイル、「支給品不都合確認票.exe」という実行ファイルだ。

2018年配送されるファイル

2018年配送されるファイル

 これらのファイルは以下のように、メールの添付で送られダウンローダーが起動し、メモリ上で展開される「RAT」という形式。ファイルではなくメモリ上でしか姿を現さないため検出されない。
2019年には通信関連製造と、半導体の関連素材を扱う化学企業、5G通信の競争が関連すると思われる日本企業の海外支社などが標的にされた。

攻撃のフロー

攻撃のフロー

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

バックナンバー

連載:EZ Press

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5