is702
ニュース

日本国内の標的型攻撃、正規ツールを隠れ蓑にする手法が継続して発生

2019/08/09

トレンドマイクロは8月8日、公式ブログで「~正規を利用した隠蔽が進む~ 日本国内での標的型攻撃を分析」と題する記事を公開しました。日本国内の「標的型攻撃」について、2018年の1年間に確認された事例を分析しています。

トレンドマイクロのネットワーク監視によると、3社に1社で「脅威の侵入可能性高」として警告が行われており、そのうちの6割、全体で見ると5社に1社で、遠隔操作が行われた疑いがありました。さらに分析の結果、極力マルウェアを使用せず、正規ツールやOSの標準機能を利用して活動を行う攻撃が常套手段となってきていることが判明したとのことです。

具体的には、「環境寄生(Living Off The Land)」と呼ばれる、“「正規」を隠れ蓑にする攻撃手法”が継続して確認されました。たとえばWindowsの標準機能であるPowerShell、商用/オープンソースのツールの利用が常套手段となっており、活動の隠蔽と調査の困難化が進んでいます。2018年には、遠隔操作に使用する遠隔操作ツール(RAT)に自前のマルウェアを使用せず、商用ツールやオープンソースのツールのみを使用した事例が確認されています。

その他の具体的な攻撃手法としては、以下が紹介されています。

・侵入時のOffice文書ファイルの使用(マクロなどの機能や脆弱性の利用)
・複数のPowerShellスクリプトやシェルコードの連携によるファイルレス活動
・画像ファイル内に不正コードを格納してダウンロード(ステガノグラフィ)
・遠隔操作通信を一般のWeb通信に紛れ込ませる
・遠隔操作通信のサーバとしてクラウドストレージなどの正規クラウドサービスを利用

「国内標的型攻撃分析レポート・2019年版」全文は、トレンドマイクロのWebサイトよりPDFファイルとしてダウンロードが可能です。また、8月22日に予定されている本レポートに関するウェビナー(オンライン講座)の登録も受け付けています。



「国内標的型攻撃分析レポート・2019年版」表紙

「国内標的型攻撃分析レポート・2019年版」表紙


  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ