-2012年上半期国内における持続的標的型攻撃(APT)の傾向を公開- 国内で最も多く利用された遠隔操作ツールによる攻撃の関連性を分析 抽出したサンプルの約半数に共通する攻撃インフラを確認

2012年8月24日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、以下、トレンドマイクロ)は、2012年上半期(1月~6月)国内における持続的標的型攻撃 (APT:Advanced Persistent Threat)に関する傾向レポートを本日公開したことをお知らせします。
○2012年上半期国内における持続的標的型攻撃の傾向:
https://app.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=81
本レポートは、当社の調査・研究組織であるリージョナルトレンドラボ、フォワードルッキングスレットリサーチが国内における持続的標的型攻撃の傾向を分析した報告書です。

2012年上半期に国内で確認した標的型攻撃に使用されたバックドア(情報漏えい)型の不正プログラムとして、BKDR_POISONまたは BKDR_DARKMOONが約4割(38%)を占めました。これらの不正プログラムは、Webで無償公開されている遠隔操作ツール 「PoisonIvy」で作成され、ファイルやプロセスの操作、リモートシェルの実行、スクリーンやカメラのキャプチャ取得、マウスやキーボードの操作等 が可能であり、悪意のあるユーザがプログラムの通信先(指令サーバ)や操作を実行するためのパスワード等を独自に設定し、情報の不正な窃取に利用します。

2012年上半期に確認された「PoisonIvy」のサンプル群から50個を任意に抽出し調査した結果、約半数のサンプル間に一連の攻撃としての関連性 が認められ、3台の指令サーバ(C&CサーバのIPアドレス)を含む攻撃インフラの存在が確認できました。また、この攻撃インフラを過去に遡り調 査した結果、もうひとつの指令サーバが確認され、これらのIPアドレスのレンジから、さらに3台の指令サーバが存在することがわかりました。この攻撃イン フラは少なくとも2009年から使用されており、そのうち7台の指令サーバの存在が明らかになりました。これらの調査結果に基づき、当社では特定の不正プ ログラム群に共通した挙動に着目したファイルや通信の検出や、指令サーバ群の特定による攻撃元のブロックにより、早期の対策を提供してまいります。

2012年上半期国内における持続的標的型攻撃の傾向レポートのサマリ

■2012年上半期の傾向
○侵入・感染: 受信者が疑いにくい電子メールの添付ファイルとして侵入
・メール添付ファイルの形式: 67%が文書・画像ファイル(※1)
※1 標的型攻撃に使用されたメールの添付ファイル100個を調査
・メールの偽装: 組織内の会議情報など実在のメールの転用、メール不達時の自動応答メール、標的組織の取扱品の注文依頼、標的組織への履歴書送付の問い合わせに偽装した例を確認
○情報の収集・窃取: 通常のWeb通信に見せかけた隠ぺい工作
・不正プログラム: 38%が「BKDR_POISON」「BKDR_DARKMOON」(PoisonIvy)(※2)
・通信ポート: 60%がポート80、32%がポート443(※2)
※2 標的型攻撃に使用された不正プログラム50個を調査
■PoisonIvyによる標的型攻撃の分析
・2012年上半期に収集・抽出した50サンプルのうち、約半数が同一の攻撃インフラを利用、また、少なくとも2009年からこのインフラが攻撃に利用されていたことを確認
・巧妙化の一例として、標的組織のプロキシサーバ情報をハードコードしたサンプルを確認

※TRENDMICROはトレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。