APT&標的型攻撃
世界的な緊張の影響が日本でも顕在化:国内における標的型攻撃の分析
昨年1年間に確認した日本国内における「標的型攻撃」に関しての分析によれば、APTとも呼ばれる高度な標的型攻撃が変化を続けながら継続して確認されています。
2024年の1年間にトレンドマイクロが日本国内で観測した標的型攻撃(APT)事例の分析からは、以下の3つの傾向が見られています:
- ネットワーク貫通型攻撃の観測が減少、標的型メールを用いた攻撃の観測が増加
- 攻撃者による正規のオンラインストレージ悪用の増加
- 国際情勢に連動している広域対象の攻撃キャンペーンの着弾増加
これまで、日本国内で観測される標的型攻撃に関しては、ほかの地域では観測されない、日本特有の攻撃グループやキャンペーンが複数存在していました。しかし2024年には必ずしも日本のみを対象とした攻撃ではない事例が中心となっており、今後もこの傾向が継続する可能性があります。
特にこの数年はEarth Kasha(別名:Mirror Face)などの中国背景とされる攻撃のみを観測していましたが、2024年には北朝鮮背景とされるEarth Kumiho(別名:Kimusky)やロシア背景とされるEarth Koshchei(別名:APT29など)の活動を観測しており、様々な背景の攻撃が流入している状況です。
北朝鮮背景とされる攻撃については、2024年12月、日本の警察庁や米国FBIなどが連名で「TraderTraitor」による国内暗号資産取引所への攻撃を指摘していますが、上述のEarth Kumihoはそれらとは異なる攻撃であり、諜報目的と考えられます。また、ロシア背景と考えられる攻撃については以前にも見られていたような流れ弾的な着弾などではなく、明確に日本の組織を標的として矛先を向けてきたことが伺える証跡を確認しています。
このような攻撃側の変化の理由は明確ではありませんが、ロシアのウクライナ侵攻を発端とする昨今の地政学的緊張の高まりがいよいよ日本にも大きな影を落としてきたことを感じさせます。また、攻撃グループは、複雑な情勢に合わせて攻撃対象を変更し、攻撃対象に合わせて攻撃手法を変化させていることが伺えます。
このように、変化を続ける標的型攻撃について最新傾向を把握することは、対策の観点からも有効です。高度かつ巧妙な標的型攻撃に対しては、ネットワーク内への侵入や侵入した攻撃者による不審な活動を早期に可視化できる多層防御とゼロトラストの実装が必要です。またそもそも攻撃者につけ入る隙を与えないためにも、自組織においてアタックサーフェス(攻撃対象領域)となり得るリソースを洗い出し、そこに存在するリスクを管理することで侵入の可能性を低減させる対策も必要不可欠となっています。
これらの分析の詳細については、以下のレポートをご一読ください。