SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine Press

国家絡みで日本を狙うサイバースパイに、脅威インテリジェンスで備えよ

 高まる地政学リスクや、国家間の緊張関係の中で、日本の組織を対象にした標的型攻撃が増えている。中でも「Tick」や「BlackTech」といった攻撃グループは、明らかに国家絡みで「日本」を標的にしており、高度なマルウェアで情報を簒奪しているという。こうしたサイバー攻撃に備えるための「脅威インテリジェンス」について、マクニカネットワークスが会見をおこなった。

マクニカネットワース株式会社 第2営業統括部 統括部長 星野 喬 氏/技術統括部 セキュリティサービス室 柳下 元氏/セキュリティ研究センター政本憲蔵氏/第2営業統括部第2営業部部長 山内治朗氏

マクニカネットワース株式会社 第2営業統括部統括部長 星野 喬 氏/技術統括部セキュリティサービス室 柳下 元氏/セキュリティ研究センター政本憲蔵氏/第2営業統括部第2営業部部長 山内治朗氏

 日本国内の企業や政府機関、マスコミを狙う標的型攻撃(サイバーエスピオナージ)が活発化している。ここ最近、サイバー攻撃が新聞やニュースで大きく報じられることはなく、一般の目にはあまり気にとまらなくなっているかもしれない。

 しかし、むしろ事態はますます深刻化している。ひとつには、攻撃の手法や技術が高度化していること、もうひとつは、攻撃の対象が政府機関や大企業だけでなく、研究機関、マスコミ、一般企業にまで拡大していることだ。

 そして、何よりも注意を喚起すべきなのは、アジアの中で「日本の組織」が標的にされていることであり、それらの攻撃の多くが「国家絡み」であることだ。

 その背景の事情は何か。高まる地政学リスクや、貿易や経済の緊張関係があることはいうまでもない。では具体的に誰が、どのような目的でサイバー攻撃をおこなっているのか。

 今回、マクニカネットワークスがおこなった、標的型攻撃に対する「脅威インテリジェンス」サービスの発表では、そのあたりの背景事情と具体的な攻撃手法の調査にもとづく情報が公開された。

日本を狙う標的型攻撃、「Tick」と「BlackTech」

 2019年の4月にマクニカネットワークスが発表した「標的型攻撃の実態と対策アプローチ」では、日本を狙う攻撃グループとして、「Tick」と「BlackTech」が紹介されており、今回の会見では柳下氏により、その内容が解説された。

 まずはTickグループの紹介から。2016年ごろから、日本の国内のクリティカルインフラへの攻撃から始まり、2017年鉄鋼系企業、2018年重工業、衛星通信、化学、2019年化学、造船、通信への攻撃が行われた。
着弾したマルウェアとダウンローダーは、Datper, (Daserf, xxmm) などだ。

2018 年度に観測された標的型攻撃と標的業種

2018 年度に観測された標的型攻撃と標的業種

 Tickは下の図のように攻撃の経路を変化させており、完全に日本を標的にしているため「海外の調査や研究機関からは報じられない」(マクニカネットワークス 柳下氏)という。今回の会見では明言はなかったが、上記のレポートでは「中国に拠点を置く攻撃グループ」によるものとされている。

Tickの攻撃アクティビティ

Tickの攻撃アクティビティ

 たとえば2018年の攻撃の例。「中国投資概況.ppsx」「2019年昇給率参考資料1.doc」といういかにも関心をひきそうな名前の文書ファイル、「支給品不都合確認票.exe」という実行ファイルだ。

2018年配送されるファイル

2018年配送されるファイル

 これらのファイルは以下のように、メールの添付で送られダウンローダーが起動し、メモリ上で展開される「RAT」という形式。ファイルではなくメモリ上でしか姿を現さないため検出されない。
2019年には通信関連製造と、半導体の関連素材を扱う化学企業、5G通信の競争が関連すると思われる日本企業の海外支社などが標的にされた。

攻撃のフロー

攻撃のフロー

次のページ
重要なのは「ファイルではなくメモリを見る」こと

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

京部康男 (編集部)(キョウベヤスオ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/12394 2019/09/03 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング