Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

国内複数組織からマルウェアによる外部通信 - 6月後半よりさらに増加

プライスウォーターハウスクーパース(PwC)は、国内の複数組織よりマルウェアが原因と見られる外部通信が発生していることを明らかにした。これらはいずれも中国の攻撃グループによるものだったという。

同社では、攻撃者が利用したドメインを取得。設置したDNSシンクホールを利用して、感染パソコンからコマンド&コントロール(C&C)サーバのIPアドレスを問い合わせるDNSクエリを観測しており、アクセス状況を明らかにしたもの。

20150703_pc_001.jpg
シンクホールへのアクセス数推移(グラフ:PwC)

同社によれば、5月から6月にかけて、政府や官公庁のほか、金融機関、航空、自動車、エネルギー関連企業など国内の複数の組織、企業からシンクホールに対する継続的な通信を観測。6月2日には1日あたり200件以上のアクセスを観測し、ピークを迎えた。同日以降は、小康状態だったが、6月21日以降に再びアクセスが増加。6月22日には350件を上回るアクセスがあったという。

すでにマルウェア感染が判明し、複数の組織がマルウェア感染を公表しているが、感染を把握できずに現在もマルウェアによる外部通信を許している企業や組織が多数存在すると分析。同社では感染組織に対し、直接あるいは第三者機関を通じて情報を提供したという。

またシンクホールに対する通信内容や、攻撃に利用されたツール、マルウェアなどを収集、分析したところ、中国に関連する2グループの攻撃であることを確認。同社では「Red Apollo」「Red Wave」と命名しており、観測した約9割は、「Red Apollo」による攻撃だった。

(Security NEXT - 2015/07/03 ) このエントリーをはてなブックマークに追加

PR

関連記事

ゼロデイ攻撃への悪用目立つ「権限昇格の脆弱性」
2019年1Qはインシデントが増加 - 「スキャン」「マルウェアサイト」など
GWに備えて対策を - 脆弱性や改元対応、BECへの警戒も
2割強の企業が過去1年間にPCやスマホ紛失を経験
ASUSの更新機能が侵害、マルウェア拡散 - MACアドレスで標的絞りさらなる攻撃
標的型攻撃が「Slack」や「GitHub」を悪用 - コード入手やコマンド実行の通知手段に
シンガポール医療機関の大規模情報漏洩、関与グループが判明
MS、月例パッチで脆弱性64件を解消 - 2件はゼロデイ攻撃を確認済み
「Windows 7」に権限昇格のゼロデイ脆弱性 - 標的型攻撃で積極的な悪用
警察庁、年間6740件の標的型攻撃を把握 - 9割は「ばらまき型」