-2012年国内における持続的標的型攻撃(APT)を分析- 2012年の持続的標的型攻撃の特性は「継続」「変化」「隠蔽」

~サイバー攻撃者、攻撃インフラなど攻撃元の特性に着目した対策を~

2013年2月18日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、以下、トレンドマイクロ)は、2012年(1~12月)国内における持続的標的型攻撃 (APT:Advanced Persistent Threat)に関する分析レポートを本日公開したことをお知らせします。
○2012年 国内における持続的標的型攻撃の分析レポート:
 https://app.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=81

2012年国内における持続的標的型攻撃の分析レポートのサマリ

2012年の国内における持続的標的型攻撃では、「継続」「変化」「隠蔽」という3つの特性を持った攻撃が行われ続けていることが明らかになりま した。「隠蔽」「変化」する攻撃の中で、「継続」して用いられる攻撃インフラ(C&Cサーバ)など、攻撃元の特性に着目した対策を講じることが有 効です。

■継続: 特定のサイバー攻撃者が継続して国内組織を攻撃、同一の攻撃インフラを継続使用
・2009年に確認された標的型攻撃の攻撃者と思われる攻撃者が、2012年も複数の国内組織を標的に攻撃を行っていることを確認
・特定の攻撃者が同一の攻撃インフラ(C&Cサーバ)を継続使用し、攻撃を行う事例を確認

■変化: 実行形式のEXEファイルを用いた攻撃が増加、PDFファイルで脆弱性を悪用する攻撃は減少
・実行形式のEXEファイルを用いた攻撃 :上半期 30% ⇒ 下半期 61%(※1)
・PDFファイルで脆弱性を悪用する攻撃 :上半期 19% ⇒ 下半期 2.5%(※1)
・バックドアが最も利用する通信:上半期 port80 HTTP 56% 下半期 port443 独自プロトコル37.5%(※2)
・同一の攻撃者が従来使用していた不正プログラムとは異なる新しい不正プログラムを使用

※1 持続的標的型攻撃に使用されたメールの添付ファイル(上半期100個、下半期200個)を調査
※2 持続的標的型攻撃に使用されたバックドア(上半期50個、下半期200個)を調査

■隠蔽: 正規ツールの悪用や正規通信に見せかけて不正プログラムを隠蔽
・正規の運用ツールを悪用し、管理者の作業であるかのように攻撃を隠蔽する事例を確認
・不正プログラムに標的組織のプロキシサーバ情報をハードコードし正規通信に偽装する事例を確認

2012年の国内における持続的標的型攻撃では、ユーザに対して不正プログラムの感染や攻撃を「隠蔽」する手法が引き続き確認されました。また、上半期と下半期を比較すると、利用される不正プログラムや攻撃手法に「変化」が見られました。サイバー攻撃者は、最終的な目的である標的組織の情報窃取を 行うために、より成功率の高い攻撃を都度選択していることが推測できます。ユーザは、「隠蔽」「変化」する攻撃の動向を捉えることで、現状をふまえた具体的な対策を講じることができます。また、「隠蔽」「変化」する攻撃の中で、攻撃インフラ(C&Cサーバ)などの「継続」使用といった不変性に着目し分析することで、攻撃元の特性を意識した、より効果的な対策を講じることができます。当社では持続的標的型攻撃を行うサイバー攻撃者に着目し、攻撃インフラ(C&Cサーバ)、使用する不正プログラム、攻撃手法、攻撃の特徴など攻撃元の特性をもとに、より適切で効果の高いソリューションを提供してまいります。

※ TRENDMICROはトレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。