国内企業への標的型攻撃は約1.5倍に、巧妙化した遠隔操作型ウイルス「CHCHES」を初観測～トレンドマイクロ調査

　トレンドマイクロ株式会社は、2016年1～12月における国内標的型サイバー攻撃を分析したレポートを公開した。同社では、巧妙な手法を用いる新種の遠隔操作型ウイルス「CHCHES」を確認したという。

　レポートでは、標的型サイバー攻撃について「初期潜入」と「端末制御」までの「侵入時活動」、「情報探索」から「情報送出」に至るまでの「内部活動」の2段階に分けて分析されている。

標的型サイバー攻撃の攻撃段階概念図

「なりすましメールに関する問い合わせ」を装う手口も～「初期潜入」の傾向

　トレンドマイクロが2016年に国内企業へのネットワーク監視で検出した標的型攻撃が疑われる通信の月平均は、2015年の約1.5倍となる約40万件。このうち標的型攻撃で主に用いられるメールによる侵入手法では、転送や再送を偽装する手法に加え、「なりすましメールに関する問い合わせ」を偽装する手口が見られた。また、送信元アドレスにフリーメールを使用してはいるが、企業OBなどの組織外の個人や、フリーランスの業務関係者を偽装する巧妙な手口が増えているという。

「なりすまし確認の偽装」メールのイメージ

　標的型メール以外では、「SKYSEA Client View」の脆弱性（CVE-2016-7836）を悪用した侵入事例が2016年末から確認されている。トレンドマイクロでは、攻撃者が常により効果的な攻撃手法を探索している事実を表しているとして、まず使用しているソフトをすべて洗い出し、広く一般的に使用されているOfficeやAdobe Readerなどのソフトウェアに限らず、適切な脆弱性対策を進めると同時に、ホスト型IPS機能などによりリモートからの攻撃を可視化する必要があるとしている。

2016年を「遠隔操作型ウイルスの代替わりの年」～「端末制御」と「RAT」の傾向

　新種の遠隔操作型ウイルスであるCHCHESは、2016年10月ごろから確認されたもの。侵入時には「.exe」や「.scr」といった実行形式のファイルではなく、PowerShellへ命令を渡すだけの「.lnk」ファイルを用いるほか、感染端末固有のシステム情報を用いてファイルを暗号化し、解析を困難にするなど、巧妙な手法を用いる。また、C&C通信における多様なHTTPメソッドの使用や、DLLプリロードやインジェクションにより正規プロセスへ寄生する。さらに、不正コードをレジストリに保存してファイルを用いないなど、巧妙かつ高度な活動内容で、これまでのRAT（Remote Administration Tool または Remote Access Tool）の集大成的存在として、今後の被害表面化が懸念されるという。なお、CHCHESに対する対策として、必要がない場合はPowerShellを端末上で無効化しておくことも有効としている。

「CHCHES」の侵入方法イメージ図

「CHCHES」の不正ショートカットファイルの内容例。エンコードされたPowerShellスクリプトが保持されている

　一方、2015年に猛威を振るった「EMDIVI」の検出割合は1％にまで低下したことから、2016年を「遠隔操作型ウイルスの代替わりの年」と位置付けている。

国内標的型攻撃に使用された遠隔操作型ウイルスの種別と割合

　侵入成功後に、RATに対する操作を外部から確立するための「端末制御」の段階に大きな変化はなく、ウェブをはじめとした正規の通信に隠れて遠隔操作を行う活動が確認されているとのことだ。