標的型攻撃のトレンド

2017年5月25日

Kaspersky Labでは、カスペルスキー セキュリティインテリジェンスサービスのお客様向けに、プライベートレポートを公表しています。その数は、2017年第1四半期だけで33本に上りました。大規模で目立つサイバー攻撃が度々ニュースのヘッドラインを飾りますが、表層には現れない数々の脅威その他の要因を、当社のエキスパートは以前から追い続けています。Kaspersky Labグローバル調査分析チーム(GReAT)による原因究明作業の大部分は、膨大な要因の調査、調査結果の体系化、異常の特定で成り立っています。

GReATは、80か国以上で100以上の脅威集団と高度な悪意ある活動を追跡しています。GReATのレポートには、脅威に関する理論的な情報だけでなく、脅威存在痕跡(IOC)やYARAルールも掲載されており、インシデントや対象となるマルウェアの調査に活用していただけるようになっています。

GReATの調査に基づき、2017年第1四半期における世界の標的型攻撃のトレンドをまとめました。こうしたトレンドを知ることは、企業の経済的損失や風評被害を防止する上で役立つことでしょう。

トレンド

  • ワイパー型マルウェア
    感染先コンピューターのデータを破壊する能力を持つワイパー型マルウェアが、新しい手段として好まれています。このタイプのマルウェアは、企業内の業務プロセスを停止に追い込む能力を持っています。また、脅威の存在を示すネットワーク上の痕跡を消し去ることができるため、エキスパートによる分析作業はさらに難しくなります。ワイパー型の例としては、当社より2017年3月に報告したShamoonやStoneDrillがあります。
  • 標的型攻撃
    かつては主に破壊工作やサイバースパイ活動に使われていましたが、今では攻撃者が直接金を得るための手段として使われることが多くなっています。たとえばShamoonの事例において、当社のリサーチャーは暗号化型マルウェアとして機能するモジュールを発見しました。すでに標的型攻撃で暗号化プログラムを積極的に使用している攻撃集団もあります。
  • 狙われる金融機関
    ポーランドの金融機関に対する攻撃において、Lazarusと関わりのあるBlueNoroffグループの存在が確認されました(2014年に起きたSony Pictures Entertainmentに対するサイバー攻撃もLazarusが関与)。しかし、BlueNoroffの狙いは純粋に金融関連にあるようです。BlueNoroffは銀行に感染し、ポーランドの金融監督機関のWebサイトにエクスプロイトを仕掛けました。現時点で当社のエキスパートは、この集団は銀行にとって最も危険な脅威の1つであると考えています。
  • ファイルレスマルウェア(英語記事)
    APT攻撃で使用されることが増えています。このタイプのマルウェアは検知が難しく、事件後の調査も困難です。

標的型攻撃に関するSecurelistのレポート全文は、こちら(英語)でご覧いただけます。

対策

以上が最新のトレンドです。では、企業としてはどのような備えができるでしょうか。こうした脅威に対しても、一般的なサイバーセキュリティの知見が有効です。

  • エンドポイント以外にも保護対策を拡張しましょう。企業ネットワークで稼働する全プロセスにおける異常を検知可能なツールを採用するのが理想的です。この要件を満たす当社ソリューションには、Kaspersky Anti-Targeted Attack Platformがあります。この製品は、当社が「HuMachineインテリジェンス」と呼んでいるもの(脅威インテリジェンス、機械学習技術、人間の専門知識の融合体)の上に構築されています。
  • サイバー攻撃者集団が防御システムの欠陥に気付く前に、そうした欠陥がないかどうか先回りして把握することも重要です。見極めには詳細なインフラ調査や侵入テストが必要ですが、ここは脆弱性の発見だけでなく修正の提案もしてくれる専門家に任せるのが一番です。
  • 最新の情報を常に把握していましょう。標的型攻撃からの防御を効果的なものとするには、最新のトレンドを知ることが欠かせません。大規模な脅威の状況を分析している専門家から一般公開されていないレポートを提供してもらうことが、この点で大いに役立つことでしょう。Kaspersky Labでは、脅威に関するインテリジェンスレポートをご提供しています。詳細については、jp-sis@kaspersky.comまでお問い合わせください。