中国のサイバー攻撃グループ「APT10」の活動に落ち着き、J-CRAT発足以来“初”

　2019年度上半期に独立行政法人情報処理推進機構（IPA）の「標的型サイバー攻撃特別相談窓口」に寄せられた相談数は221件だった。このうち、同機構のサイバーレスキュー隊「J-CRAT（Cyber Rescue and Advice Team against targeted attack of Japan）」によるレスキュー支援は80件。

　J-CRATは、標的型サイバー攻撃に関する相談や分析、対策支援などを行っている組織で、2014年7月に発足した。同隊の発足以来、中国を拠点とするサイバー攻撃グループ「APT10」は観測頻度の高いグループの1つだったが、2019年上半期には初めて「活動が低減し続けた」という。

　2018年12月に米国司法省が同グループに所属するとみられる人物2名を起訴しており、日本政府も同グループを非難するなどしているが、こうした活動の効果が作用したものとみている。

　一方、APT10以外の攻撃グループについては、インフラ、化学、シンクタンク、メディア業界などへの標的型攻撃メールを断続的に観測した。主に日本企業の中国現地法人や中国との合弁会社に対する攻撃活動が活発だった。今後もこれらの攻撃グループによる活動が活発化するとみられる。

　攻撃メールのテーマは、米中両国の貿易問題、韓国との輸出管理問題といった経済問題や、それに関連する先端技術などの時事問題を用いたものが複数確認されたという。これらの経済動向や関連製品の技術に直接・間接的に関わる組織については、サイバー諜報活動を受けていないか注意するよう呼び掛けている。

学術組織の技術情報を狙った攻撃を観測、ソーシャルエンジニアリングにも注意

　J-CRATでは2018年度下半期に続き、学術組織の技術情報を狙ったとみられる事案群の対応も行った。攻撃グループは、同時期に複数の学術組織への標的型攻撃メールを展開していたことから、特定分野の技術情報を窃取することを目的としたキャンペーンを展開していた可能性がある。

　なお、過去に繰り返しサイバーエスピオナージ（サイバー空間における諜報活動）を受けてきた組織については、役員とシステム管理者に標的を絞った標的型攻撃メールの事例が見られた。この手口は、標的組織の公開コンテンツを紹介するメールの文面のリンクをクリックすると、組織の本物のウェブページをコピーした画像上に偽のログイン画面を表示した不正サイトが開き、認証情報を入力すると正規サイトのトップページへ遷移するというフィッシング攻撃だった。

　窃取したメールの内容から標的組織の人間関係や他組織への攻撃経路を確保するというのが攻撃者の目的である場合、ソーシャルエンジニアリングなど、「サイバーエスピオナージと並行して行われる人間による活動」、あるいはそれらを組み合わせた活動についてもリスク管理が必要だとしている。また、セキュリティ部門だけでなく経営層を含めた組織全体で理解し、攻撃に備えることが重要だとしている。

さまざまな攻撃を仕掛ける「APT41」「WINNTI」

　このほか、日本を含む各国のさまざまな業界を標的とする攻撃グループ「APT41」「WINNTI」の攻撃活動についても注意を促している。同グループの侵入手口は、サプライチェーン攻撃や認証情報窃取、標的型攻撃メール、正規のリモートアクセスツールを悪用した攻撃など多様であることに加えて、使用するバックドアは検出が困難だという。そのため、仮に攻撃を検出していない場合でも、標的型攻撃の感染調査を定期的に行うことを推奨している。