19/09/03 14:05:12.49 kkUPlFw+9.net
edited by Security Online 2019/09/03 06:00
高まる地政学リスクや、国家間の緊張関係の中で、日本の組織を対象にした標的型攻撃が増えている。中でも「Tick」や「BlackTech」といった攻撃グループは、明らかに国家絡みで「日本」を標的にしており、高度なマルウェアで情報を簒奪しているという。こうしたサイバー攻撃に備えるための「脅威インテリジェンス」について、マクニカネットワークスが会見をおこなった。
日本国内の企業や政府機関、マスコミを狙う標的型攻撃(サイバーエスピオナージ)が活発化している。ここ最近、サイバー攻撃が新聞やニュースで大きく報じられることはなく、一般の目にはあまり気にとまらなくなっているかもしれない。
しかし、むしろ事態はますます深刻化している。ひとつには、攻撃の手法や技術が高度化していること、もうひとつは、攻撃の対象が政府機関や大企業だけでなく、研究機関、マスコミ、一般企業にまで拡大していることだ。
そして、何よりも注意を喚起すべきなのは、アジアの中で「日本の組織」が標的にされていることであり、それらの攻撃の多くが「国家絡み」であることだ。
(中略)
■日本を狙う標的型攻撃、「Tick」と「BlackTech」
(中略)
これらのファイルは以下のように、メールの添付で送られダウンローダーが起動し、メモリ上で展開される「RAT」という形式。ファイルではなくメモリ上でしか姿を現さないため検出されない。
2019年には通信関連製造と、半導体の関連素材を扱う化学企業、5G通信の競争が関連すると思われる日本企業の海外支社などが標的にされた。
次に「BlackTech」、こちらも幅広い組織に偵察的な攻撃をしかけるグループだ。2019年は学術関連、防衛関連のインフラ企業、通信関連が狙われた。「PLEAD」「TsCookie」などが主なマルウェアで、暗号ファイルを読み込んでメモリ上で展開する。ジャンクコードを大量に書き込み解析を困難にする。
こうしたグループを考える時、以下のポイントに留意するべきだという。
1)地域性がありグローバルベンダーだけだと日本に対する脅威を把握しきれない
2)実際に着弾しているが、ステルス性が高いため顕在化しにくい
3)日本企業の競争力の高い企業、組織を常に調べ産業競争力を低下させる大きな脅威
■重要なのは「ファイルではなくメモリを見る」こと
次にセキュリティ研究センターの政本憲蔵氏が、PLEADの技術的な解説をおこなった。メール配送されたWordやExcelのファイルがマクロを含んでおり、実行ファイルから悪性コードをメモリ空間に常駐させるという手法は、2014年からずっと続いている。悪性のコードはdllファイルのなかに暗号化され、マトリョーシカのように重層的に潜んでおり、メモリ上だけで正体をあらわすために、通常のユーザーモードでは検知できない。ここでも「ファイルではなくメモリを見る」ことを政本氏は強調する。
(中略)
■「脅威インテリジェンス」とは
このような高度な標的型攻撃に対応するためには、「脅威インテリジェンス」の体制が必要となる。脅威インテリジェンスとは、「個人、組織への驚異に対して、確かな根拠に基づいて判断と実行が可能な確信的情報」であり、「実行可能とはセキュリティ製品やツールに適用でき、脅威に対して迅速かつ的確に対応できること」だと、マクニカネットワースの山内治朗氏は言う。
(中略)
これらの脅威インテリジェンスを活用することで、組織のCSIRTは標的型攻撃の検知精度を高めることができるという。従来のセキュリティサービスは、侵入を防ぎ安定稼働を目的にした保守のスタンスだったが、相次ぐ地政学リスクや国家間の緊張や世界的なサイバーテロが激化した今、侵入を前提にした対応が必要になる。
そのための調査では、「メモリの侵害痕跡の照合」が重要になることが、会見中、何度も強調された。
京部康男 (編集部)[著]
URLリンク(enterprisezine.jp)
URLリンク(i.imgur.com)
URLリンク(i.imgur.com)
URLリンク(i.imgur.com)
URLリンク(i.imgur.com)
URLリンク(i.imgur.com)
URLリンク(i.imgur.com)
URLリンク(i.imgur.com)
URLリンク(i.imgur.com)
URLリンク(i.imgur.com)