国内標的型攻撃ウイルスは無料ツールで作成、攻撃の半数は同一インフラで


 トレンドマイクロ株式会社は24日、2012年上半期の国内における持続的標的型攻撃(APT)の傾向をまとめた報告書を公開した。同社のサイトで無料の会員登録を行えば、無料でダウンロードできる。

侵入経路はメールが主流、標的組織への注文メールを偽装するケースも

 それによれば、APTに用いられる不正プログラムは、受信者が疑いにくいメールの添付ファイルとして侵入するケースが多かったという。添付ファイルの形式は67%が文書・画像ファイルだった。

 不正プログラムを添付するメールの偽装も確認された。具体的には、組織内の会議情報など実在のメールの転用、メール不達時の自動応答メール、標的組織の取扱品の注文依頼、標的組織への履歴書送付の問い合わせに偽装した例があった。

 不正プログラムが感染PCから情報を収集・窃取するにあたっては、通常のウェブ通信に見せかけた隠ぺい工作が行われていたと指摘。こうした隠ぺい工作のうち、60%がポート80、32%がポート443を使用していた。

不正プログラムの38%はバックドア型、無料遠隔操作ツールで作成

 APTに用いられた不正プログラムの種類は、バックドア型の「BKDR_POISON」および「BKDR_DARKMOON」が全体の38%を占めていた。これらは主に、ウェブで無償公開されている遠隔操作ツール「PoisonIvy」で作成されていたという。

 PoisonIvyで作成された不正プログラムは、ファイルやプロセスの操作、リモートシェルの実行、スクリーンやカメラのキャプチャー取得、マウスやキーボードの操作などを行うのが特徴。悪意のあるユーザーは、プログラムの通信先(指令サーバー)や操作を実行するためのパスワードを独自に設定し、情報の不正な窃取に利用するという。

 また、2012年上半期におけるPoisonIvyのサンプル群50個を抽出して調査した結果、約半数が同一の攻撃インフラを利用していたと指摘。少なくとも2009年からこのインフラが攻撃に利用されていたことも確認した。

 トレンドマイクロではこれらの調査結果に基づき、特定の不正プログラム群に共通した挙動に着目したファイルや通信の検出、指令サーバー群の特定による攻撃元のブロックを行うことで早期の対策を提供するとしている。


関連情報


(増田 覚)

2012/8/24 15:57