「C:\Temp」「C:\Intel」フォルダーは不正ツールが設置されやすい？　標的型攻撃に類似点～J-CRAT報告

　2017年度下半期に独立行政法人情報処理推進機構（IPA）の「標的型サイバー攻撃特別相談窓口」に寄せられた相談数は158件で、上半期の254件から減少した。同機構のサイバーレスキュー隊「J-CRAT」によるレスキュー支援も上半期の85件から59件へと減少している。

　J-CRATは、標的型サイバー攻撃に関する相談や分析、対策支援などを行っている組織で、2014年7月に発足した。

　J-CARTの報告によれば、2017年度下半期は、感染が長期化する潜伏被害の件数は減少する一方で、特定の攻撃グループによるものと思われる標的型メール攻撃が、国際政治・経済・安全保障に関わる組織に対して断続的に見られたという。攻撃に用いられたマルウェアとして、「RedLeaves」「ANEL」が確認されている。

　ANELが用いられた事例では、標的型メールと添付ファイルの内容は標的組織ごとにカスタマイズされており、標的組織がウェブで公表している直近のイベントなどが題材に使用されていた。また、攻撃者は標的の端末へANELを感染させる前段として、オフィスソフトの脆弱性や仕様を介して、バックドア型マルウェア「Koadic」を送り込んでいた。

台湾政府を狙っていたウイルス、日本企業も標的に

　このほか、先端科学技術を扱う学術組織が2017年度上半期から数カ月間の長期にわたり情報窃取の被害を受けていたことが発覚した。ウイルスの感染被害は複数のサーバーに広がっており、攻撃者が遠隔操作で組織内の端末を次々と感染させていた。

　さらに、2017年末ごろには、これまで台湾の政府組織を標的としてきたウイルス「Taidoor」が日本国内の企業でも発見された。共有ウェブサービスやブログがウイルスの配信先に用いられており、セキュリティ製品による不審通信先としての検知を回避する狙いが見られたそうだ。2018年初頭では、同じく台湾の政府組織を標的としてきたウイルス「PLEAD」が添付された標的型メールが国内の重要人物に送付された事例が見られたという。

　なお、2017年度に発生した学術関係組織への不正アクセス事例の調査で見つけた攻撃の類似点として、J-CRATは以下を挙げる。

• 不正ツールが設置されやすいフォルダーがある（「C:Temp」「C:Intel」が使われやすい）
• バックドアは複数仕掛けられる（サービス登録やスタートアップへの設置）
• リモートアクセスユーティリティ「PsExec」など侵入後に感染を広める手法は複数用いられる
• 感染を広めるための中継サーバーが作られる