トレンドマイクロ、日本を狙う標的型攻撃の動向から「民間企業でも脅威インテリジェンスを生かした能動的サイバー防御を」と提言

　トレンドマイクロは、標的型攻撃の動向についての説明会を実施した。同社セキュリティエバンジェリストの岡本勝之氏は、「日本に対する標的型攻撃が増加している。その背景にあるのは、世界的に見られている地政学的緊張の高まりである。組織を直接的に狙う攻撃、サプライチェーンを経由した攻撃も増加しており、日本の企業や組織はそれへの対策が必要である」と警鐘を鳴らした。

　また、「これまでのセキュリティは、受け身の傾向が強かったが、今後は民間企業でも能動的な防御が必要である」と提言した。

トレンドマイクロ セキュリティエバンジェリストの岡本勝之氏

今も増加し続ける標的型攻撃の巧妙な手段

　標的型攻撃は、重要情報の窃取や破壊活動、情報操作などを目的とし、特定の法人や組織、個人を対象に、継続的に行われるサイバー攻撃を指しており、主に国家を背景にした「APT」（Advanced Persistence Threat：高度で持続的な脅威）と呼ばれるグループが中心となって行われているとされる

標的型攻撃の説明、国会を背景とした攻撃グループが中心

国内組織で観測した標的型攻撃

　2024年に国内組織で観測した標的型攻撃として、Earth Kasha、Earth Harpy、Earth Kumiho、Earth Koshchei、APT-C-60があったことを報告。今回の説明では、とくにEarth KashaとAPT-C-60を取り上げた。

Earth Kashaの標的型攻撃

　Earth Kashaは、MirrorFaceとも呼ばれており、主に日本を対象とした標的型攻撃として、2019年以降、活動が続いている。

　以前は、日本の公共関連組織、国際関係の組織、個人などを標的とし、標的型メール経由でLODEINFOなどのマルウェアを配布していたが、2023年から2024年初頭にかけては、ルーターやVPNを対象にしたネットワーク貫通型攻撃にシフトして、公共関連組織や先端技術を持つ企業および組織などを対象にした攻撃が増加。この時期には、台湾やインドでも攻撃が見られたという。2024年半ば以降は、再度、標的型メールを経由したキャンペーンにおいて、マルウェアであるANELを用いた攻撃が観測されているという。

　「2024年は、組織に所属している個人を狙った攻撃が増えた。取材申請書の形をとったり、経済安全保障に関するタイトルを掲載するメールを送信したりすることで、初期侵入を狙っている」として、岡本氏は具体的な攻撃の例を挙げた。

　「ある人物のメールアカウントを乗っ取り、その人物と個人的に面識がある人物に対して当人になりすましてメールを送り、「レポートを見てほしい」などという文言でファイルを開くよう依頼すれば、相手も疑いを持つことが難しい。そして、ファイルを開くと初期侵入を許してしまうことになる、というケースがあった」。最近では、添付ファイルではなく、URLを開くことを促す例が増加しており、OneDriveやGoogle Driveなど、正規のクラウドストレージが使用されている。クラウドストレージに格納してあるWordファイルを開くと白紙のままの文書が表示されるが、その時点で、裏では遠隔操作のツールが実行されてしまっていると、岡本氏は指摘した。

Earth Kashaに関する警察庁の声明

　Earth Kashaは、2025年1月8日に、警察庁が注意喚起を発表したが、それ以降も攻撃は増加しており、トレンドマイクロでは、2025年3月に日本および台湾の政府機関や公共機関などを標的とした攻撃キャンペーンを観測していたという。

　岡本氏は「このときの被害にあった組織の特性や、感染後の活動状況を考慮すると、諜報活動を目的とするキャンペーンだったと考えられる。攻撃のプロセスや手段は2024年とほぼ同様だが、DNS over HTTPSに対応する機能を新たに搭載したり、メールの内容では修正済み履歴書の送付を装ったり、研究助手募集、公務出張報告などのタイトルで送付するなど、巧妙化を図っている」とした。

継続するEarth Kashaの攻撃

「これまでにないタイプの攻撃者」のターゲットと攻撃手法

　一方、APT-C-60は、2021年以降、日本のほか、韓国や中国、東アジアを標的とした活動を続けるAPTグループであり、「これまでにないタイプの攻撃者である」と位置づけた。

　2024年には、日本を狙って、仮想ハードディスクのファイル形式のひとつであるVHDXを配布する標的型メールやキャンペーンを実施したほか、韓国を狙ったWPS Officeの脆弱性を悪用したキャンペーンなどが観測された。主に、製造業、経済団体、政治家などをターゲットにしているという。

JPCERT/CCのAPT-C-60に対する注意喚起

　2024年11月には、JPCERT/CCから、APT-C-60に対する注意喚起が発表されている。

　「不正VHDXを配布する標的型メールは、2024年8月から日本の組織を狙ったものとして観測されている。メディア関係者や企業の採用担当窓口にメールを送付することで侵入を図っている。これらは、外部に情報が公開されている部門であり、攻撃対象となりやすい。攻撃者が送付したメールに記載されているGoogle DriveのURLリンクから、VHDXファイルをダウンロードし、VHDX内に含まれるショートカットファイルをユーザーが実行することで不正プログラムへの感染が開始されることになる」と、攻撃の仕組みを説明した。

　だが、現時点では、APT-C-60の帰属は特定できていないという。

　「朝鮮半島に関連した攻撃者グループであることは、複数のセキュリティベンダーから言及されている。また、韓国関連のAPTグループと考えられるDarkHotelの関与も報じられている。トレンドマイクロでは、そこまで断定はできていない。引き続き注視する必要がある」としている。

攻撃者と攻撃手口を分析して対策へ

攻撃者と攻撃手口を分析して対策に活用する、アトリビューション

　岡本氏によると、昨今では、アトリビューション（帰属の特定）が注目されており、攻撃の痕跡や、攻撃者の意図、動機、能力を分析し、攻撃グループの特定や特徴、手口を解明することで、対策に活用する動きが活発化しているという。

　ここでは、サイバー攻撃の技術的痕跡を収集、分析する技術的アトリビューションと、社会や政治、経済的要素を加味し、分析する社会・政治的アトリビューションがある。

　トレンドマイクロでは、主に技術的アトリビューションにフォーカスしている。具体的には、コード全体やルーチン単位での比較や、コード内の文字列や使用言語などの類似性、使用ツールやマルウェアの特徴に着目する。そのほか、コマンド＆コントロール（C&C）サーバのIPアドレスやドメイン、通信で使用されるプロトコルなどの攻撃インフラの特徴や、侵入経路や攻撃の段取り、ツールの使用方法、利用する脆弱性などの使用する手法の特徴からも、攻撃グループや国家背景を特定するという。

　また、パブリックアトリビューションとして、国や公的機関が、標的型攻撃の主体者やその背後にいる組織、国家を特定し、声明を発表する行為も増えている。日本でも、警察庁が、北朝鮮を背景とするサイバー攻撃グループであるTraderTraitorによる暗号資産関連事業者を標的としたサイバー攻撃が発生していることを明らかにしている。

標的型攻撃の全体像をつかむには、情報共有が重要

　一方で、「標的型攻撃は隠密性の高い攻撃であるため、組織から見えている範囲が情報のすべてとは限らない。攻撃元の特定が困難であるため、不確実な情報が含まれる場合もある。自身で取得した情報に加えて、提供された情報、公開された情報を組み合わせて情報の全体像を探る必要がある。情報共有をしていくことが重要である」とも提言した。

数年後に日本を標的にする動きも。周辺国での標的型攻撃の動向

　日本の周辺国における標的型攻撃の動向についても説明した。

　海外を標的にしていたグループが、数年後に日本を標的にする動きがあることを指摘しながら、「国際情勢に連動している広域対象の攻撃キャンペーンが日本に着弾することが増えている。APT-C-60などがそれにあたる」とした。

　台湾への標的型攻撃が増加していることも指摘し、「台湾では多くの攻撃グループの存在が観測され、攻撃対象が政府機関、先端技術、化学工業、テクノロジー、衛星産業など幅広い。なかでも、台湾の軍需にも利用されるドローン産業のサプライチェーンを狙った標的型攻撃も始まっており、正規のソフトウェア内に不正なコードを埋め込むソフトウェアサプライチェーン攻撃と、信頼済みチャネルを介して下流の顧客側にマルウェアを送り込むビジネスサプライチェーン攻撃の2種類のサプライチェーン攻撃がある。個々で利用される正規のソフトウェアにマルウェアが埋め込まれていると、ユーザーは気づきようがない」とも語った。

　チベット自治区や新疆ウイグル自治区では、中国背景のAPTグループであるEarth Minotaurが、コミュニティに対するサイバーエスピオナージ（諜報活動）を展開している。不正なリンクの埋め込まれたメッセージの活用のほか、スマホが中心に活用されていることから、政府の発表や宗教、チベット、ウイグルに関する中国語のニュースメッセージアプリなどで標的に送信。このリンクをクリックすると、不正なコードが実行され、バックドアのDarkNimbusが、被害者端末にダウンロードされる仕組みになっている。

　「DarkNimbusは、Windows版だけでなく、Android版が発見されており、スマホもターゲットにしたクロスプラットフォーム対応のバックドアになっている」という。

　なお、メッセージにリンクを用意し、クリックさせることで不正なコードを実行するといった攻撃は、日本でも増加しており、個人のスマホ宛にメッセージを送られるケースが見られているという。「URLは、不正なコードを実行させるアイコンなどが偽装しやすいので注意が必要である。送り主がわからない相手の場合には警戒してほしい」と、岡本氏は呼びかけた。

脅威インテリジェンスの活用で能動的サイバー防御を

　続いて、日本企業がとるべき対策についても提言が行われた。

　岡本氏は、「諜報目的と考えられる攻撃が増加している。昨今の地政学的緊張の高まりが、攻撃対象を広域化させ、日本への攻撃が顕著になっている。また、攻撃者は、標的の環境、状況に対して臨機応変に攻撃を使い分けている。しばらくはVPNの脆弱性を突いたものが多かったが、その脆弱性が解決されはじめると、別の攻撃手法へと変えた。日本の企業は、リソースが限られているなかでは、やみくもに何でも防御するのではなく、自分たちに対する攻撃手法を少なくさせ、特定の経路を監視して対応できる状況にしておくことが望ましい。外に見えている弱点をなるべく少なくすることが、防御につながる」とした。

地政学的緊張の高まりで広域化する攻撃対象

臨機応変に使い分けられる攻撃手法

　前提となるのは、昨今の標的型攻撃の傾向を把握することだという。

　「脅威インテリジェンス（組織が効果的に活用できるように分析・編集などがされた脅威に関する情報）などの情報を活用し、攻撃の傾向を把握すること、自分たちの弱点がどこにあるのかを確認することで、プロアクティブな防御体制を敷くことができる。これまでのセキュリティは受け身で行う傾向が強かったが、攻撃させづらい、あるいは侵入しづらくさせる能動的な防御が、民間企業でも必要である」とした。

脅威インテリジェンスの活用で能動的サイバー防御を

　さらに、脅威インテリジェンスの活用ができていない企業が多いことも指摘。「脅威インテリジェンスを導入した組織の典型的な課題が、情報を受け取って、それで終わりということである」と指摘した。

　脅威インテリジェンスを導入してみたものの、何のために使うのか、どのような成果を期待するのかが曖昧なまま運用が開始される「明確な活用目的の欠如」、インテリジェンス情報を分析し、アクションに落とし込む専任担当者が不在であり、誰かがやるだろうという状態になりがちな「責任者、担当者の不在」、インシデント対応、脆弱性管理などの既存セキュリティ業務との連携プロセスが確立されていないため、情報が孤立している「既存業務との連携不足」といった課題があるという。

　「トレンドマイクロでは、Trend Vision Oneと呼ぶセキュリティプラットフォームを通じて、脅威インテリジェンスを提供するとともに、対象の脅威インテリジェンスに記載されているIoC（Indicator of Compromise）が、企業のシステム環境内に、攻撃の痕跡として残っていないかを検索するスイーピング機能を提供し、情報を活用していけるように注力している」と述べ、「痕跡から攻撃を確認する戦術的インテリジェンス、攻撃の最新状況を把握する運用的インテリジェンス、業界全体のセキュリティトレンドを経営層が把握する戦略的インテリジェンスを組み合わせて、情報を生かす必要がある。情報をもとに、先に防御していくことが、民間企業における能動的サイバー防御につながる」と語った。

国内標的型攻撃分析レポート2025年版

　なお、トレンドマイクロでは、2012年から、「国内標的型攻撃分析レポート」などを発行しており、7月2日に公開した最新の2025年版では、APTに分類される攻撃者による攻撃と手法に焦点をあてている。