標的型攻撃メールの添付ファイル、PDF/DOCの割合が減少、EXEは増加

　トレンドマイクロ株式会社は18日、国内における持続的標的型攻撃（APT：Advanced Persistent Threat）に関する分析レポートを公開した。

　2012年の国内における持続的標的型攻撃では「継続」「変化」「隠蔽」という3つの特性を持った攻撃が行われていたという。

　「継続」については、2009年に確認された標的型攻撃と同一と思われる攻撃者が継続して、2012年4月・10月にも複数の国内組織を標的に攻撃を行っていることを確認したという。また、特定の攻撃者が、同一の攻撃インフラ（C&Cサーバー）を継続使用して攻撃をしていた事例も確認したとしている。

　「変化」としては、標的型メールの添付ファイルの形式の変化を挙げている。国内の持続的標的型攻撃に使用されたメールの添付ファイルについて上半期100個／下半期200個を調査したところ、文書ファイルのPDFとDOCの割合が減少し、実行形式のEXEの割合が増加した。

　上半期はDOCが36.0％と最多だったが、下半期は17.0％だった。PDFも上半期の19.0％から下半期は2.5％に減少した。一方、EXEは上半期にも30.0％と多かったが、さらに下半期は61.0％を占めるまでになった。XLSは上半期8.0％、下半期8.5％。トレンドマイクロでは、PDFファイルの悪用減少の背景には、Adobe Reader X以降のサンドボックス機能などセキュリティ強化により、脆弱性を狙った攻撃が難しくなっていることがあるのではないかとみている。

攻撃に用いられた不正ファイルの種別

　このほか、持続的標的型攻撃に使用されたバックドアについて上半期50個／下半期200個を調査した結果から、バックドアが行う通信が上半期は80番ポートのHTTPプロトコルを用いたものが56％を占めて最多だったのに対し、下半期は443番ポート上で独自プロトコルを用いたものが37.5％で最多となった変化も指摘している。国内の標的型攻撃で多用されているバックドア「PoisonIvy」で443番ポートが多く使われていることが確認されたという。

　なお、従来はPoisonIvyを使っていた特定の攻撃者が、同一のC&Cサーバーを使用して、別のバックドア「PlugX」に移行した事例も挙げている。

　「隠蔽」としては、正規の運用ツールを悪用し、管理者の作業であるかのように攻撃を隠蔽する事例や、不正プログラムに標的組織のプロキシサーバー情報をハードコードし、正規通信に偽装する事例を確認したとしている。

　トレンドマイクロでは、持続的標的型攻撃が「変化」し、「隠蔽」される動向をとらえることで現状をふまえた対策を講じることができると説明している。また、攻撃インフラのC&Cサーバーなど「継続」使用される不変性に着目して分析することで、攻撃元の特性を意識したより効果的な対策を講じることができるとしている。