こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
トレンドマイクロは、2020年の国内に対する標的型攻撃を分析した「国内標的型分析レポート2021年版」を公開した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】国内で発生した標的型攻撃について、攻撃者のグループごとに傾向と可視化のために必要な対策が公開されています。サプライチェーンリスクを巻き込んで発生している標的型攻撃の現状について説明します。
標的型攻撃とは、Advanced Persistent Threatを略してAPT攻撃とも呼ばれる、特定の個人や組織を狙ったサイバー攻撃です。一般的なセキュリティ対策では検出できないマルウェアや攻撃手法を使って、対象となるシステムへ侵入を試みます。
標的型攻撃者グループとして挙げられているのは「Lazarus Group」「menuPass」「BlackTech」「LODEINFO」「KONNI」「Gamaredon Group」とマルウェア「SUNBURST」を用いるグループです。国内で確認された標的型攻撃で、初期潜入の傾向として標的型メール、遠隔攻撃による直接侵入、サプライチェーンの弱点を悪用する攻撃、組織の従業員に対する攻撃が挙げられています。また、自身の隠蔽工作の手口として、正規ツールの悪用や、遠隔操作ツールの実行時にファイル本体を用いない「ファイルレス攻撃」や、攻撃対象の端末のみマルウェアや不正なスクリプトのダウンロードに進む多段構成の攻撃事例も確認されているということです。
本レポートで公開されている3つのサプライチェーン攻撃について説明します。標的となる組織へ直接侵入することが難しい場合に経由する踏み台に違いがあるようです。
ソフトウェアサプライチェーン攻撃は、まずソフトウェアを開発する組織のネットワークに侵入し、プログラムの中にマルウェアを混入させ、標的となる組織へ侵入します。2020年12月、ネットワーク監視製品である「SolarWinds Orion プラットフォーム」の開発環境が侵害され、アップデート時にマルウェア「SUNBURST」などが混入したプログラムが配布された事例があります。
サービスサプライチェーン攻撃は、標的となる組織が利用しているサービス事業者へ侵入し、提供されているサービスの仕組みを悪用して、標的となる組織へ侵入します。システムの運用や監視などを請け負っている業者に対して特別なアクセス経路や権限が付与されている場合があり、直接侵入できない組織でもサービス事業者を踏み台にすれば侵入できてしまう可能性があります。
ビジネスサプライチェーン攻撃は、子会社や海外拠点、取引先のネットワークを経由して、標的となる組織へ侵入します。例えば、本社で十分なセキュリティ対策が実施されている組織であっても、子会社のセキュリティの予算が十分ではない場合があります。また、取引先に成りすましたメールにマルウェアを添付して、標的となる組織の端末へ感染を試みます。
サイバー攻撃情報フレームワーク「MITRE ATT&CK(マイター アタック)」について説明します。
MITRE ATT&CKとは、攻撃者の行動を目的や攻撃手法から分類したナレッジベースです。セキュリティ対策が未然防止から事後対応へ範囲が広がっており、攻撃成立後に着目したMITRE
ATT&CKへの注目度が上がっています。
ちょっと込み入った内容になってしまいましたが、今回はここまでにします。MITRE ATT&CKはその他にも様々な使い方がありますので、ご興味がある方は公式ホームページをご覧ください。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
