国内で確認の標的型攻撃者グループ、2020年は活動再開含む7つ ~ トレンドマイクロ報告
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」9月29日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・経由する踏み台により異なる3つのサプライチェーン攻撃
サイバー攻撃の抜本的対策「MITRE ATT&CK」とは?
ニュース解説
国内で発生した標的型攻撃について、攻撃者のグループごとに傾向と可視化のために必要な対策が公開されています。サプライチェーンリスクを巻き込んで発生している標的型攻撃の現状について説明します。
標的型攻撃とは、Advanced Persistent Threatを略してAPT攻撃とも呼ばれる、特定の個人や組織を狙ったサイバー攻撃です。一般的なセキュリティ対策では検出できないマルウェアや攻撃手法を使って、対象となるシステムへ侵入を試みます。
標的型攻撃者グループとして挙げられているのは「Lazarus Group」「menuPass」「BlackTech」「LODEINFO」「KONNI」「Gamaredon Group」とマルウェア「SUNBURST」を用いるグループです。国内で確認された標的型攻撃で、初期潜入の傾向として標的型メール、遠隔攻撃による直接侵入、サプライチェーンの弱点を悪用する攻撃、組織の従業員に対する攻撃が挙げられています。また、自身の隠蔽工作の手口として、正規ツールの悪用や、遠隔操作ツールの実行時にファイル本体を用いない「ファイルレス攻撃」や、攻撃対象の端末のみマルウェアや不正なスクリプトのダウンロードに進む多段構成の攻撃事例も確認されているということです。
経由する踏み台により異なる3つのサプライチェーン攻撃
本レポートで公開されている3つのサプライチェーン攻撃について説明します。標的となる組織へ直接侵入することが難しい場合に経由する踏み台に違いがあるようです。
■ソフトウェアサプライチェーン攻撃
まずソフトウェアを開発する組織のネットワークに侵入し、プログラムの中にマルウェアを混入させ、標的となる組織へ侵入します。2020年12月、ネットワーク監視製品である「SolarWinds Orion プラットフォーム」の開発環境が侵害され、アップデート時にマルウェア「SUNBURST」などが混入したプログラムが配布された事例があります。
■サービスサプライチェーン攻撃
標的となる組織が利用しているサービス事業者へ侵入し、提供されているサービスの仕組みを悪用して、標的となる組織へ侵入します。システムの運用や監視などを請け負っている業者に対して特別なアクセス経路や権限が付与されている場合があり、直接侵入できない組織でもサービス事業者を踏み台にすれば侵入できてしまう可能性があります。
■ビジネスサプライチェーン攻撃
子会社や海外拠点、取引先のネットワークを経由して、標的となる組織へ侵入します。例えば、本社で十分なセキュリティ対策が実施されている組織であっても、子会社のセキュリティの予算が十分ではない場合があります。また、取引先に成りすましたメールにマルウェアを添付して、標的となる組織の端末へ感染を試みます。
その他のトピック
サイバー攻撃の抜本的対策「MITRE ATT&CK」とは?(全文はこちら)