Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

国内複数組織からマルウェアによる外部通信 - 6月後半よりさらに増加

プライスウォーターハウスクーパース(PwC)は、国内の複数組織よりマルウェアが原因と見られる外部通信が発生していることを明らかにした。これらはいずれも中国の攻撃グループによるものだったという。

同社では、攻撃者が利用したドメインを取得。設置したDNSシンクホールを利用して、感染パソコンからコマンド&コントロール(C&C)サーバのIPアドレスを問い合わせるDNSクエリを観測しており、アクセス状況を明らかにしたもの。

20150703_pc_001.jpg
シンクホールへのアクセス数推移(グラフ:PwC)

同社によれば、5月から6月にかけて、政府や官公庁のほか、金融機関、航空、自動車、エネルギー関連企業など国内の複数の組織、企業からシンクホールに対する継続的な通信を観測。6月2日には1日あたり200件以上のアクセスを観測し、ピークを迎えた。同日以降は、小康状態だったが、6月21日以降に再びアクセスが増加。6月22日には350件を上回るアクセスがあったという。

すでにマルウェア感染が判明し、複数の組織がマルウェア感染を公表しているが、感染を把握できずに現在もマルウェアによる外部通信を許している企業や組織が多数存在すると分析。同社では感染組織に対し、直接あるいは第三者機関を通じて情報を提供したという。

またシンクホールに対する通信内容や、攻撃に利用されたツール、マルウェアなどを収集、分析したところ、中国に関連する2グループの攻撃であることを確認。同社では「Red Apollo」「Red Wave」と命名しており、観測した約9割は、「Red Apollo」による攻撃だった。

(Security NEXT - 2015/07/03 ) このエントリーをはてなブックマークに追加

PR

関連記事

擬似フィッシング攻撃によるトレーニングサービスをバージョンアップ - ソフォス
同一PDFファイルに「Acrobat/Reader」と「Windows」のゼロデイ脆弱性 - 併用で高い攻撃力
「CSVファイルは安全」という先入観につけ込む標的型攻撃
2018年1Qの「標的型攻撃メール」は101件 - 標的の8割がプラント関係者
医療業界やサプライチェーン狙う攻撃グループを確認 - 標的はレガシーシステムか
北朝鮮悪用のFlash脆弱性、広く悪用される状態に - 海外中心に攻撃が拡大、国内でも
研究者が注目した「10大脅威」、具体的な手口や対策は? - IPAが解説資料
「不正ログイン対策」や「家庭用IoT機器のセキュリティ」学ぶ動画
総務省、「テレワークセキュリティガイドライン」改正案でパブコメ
「添付ファイルでマルウェア感染?」「PCの動作が変?」 - まずは調査を