Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

国内複数組織からマルウェアによる外部通信 - 6月後半よりさらに増加

プライスウォーターハウスクーパース(PwC)は、国内の複数組織よりマルウェアが原因と見られる外部通信が発生していることを明らかにした。これらはいずれも中国の攻撃グループによるものだったという。

同社では、攻撃者が利用したドメインを取得。設置したDNSシンクホールを利用して、感染パソコンからコマンド&コントロール(C&C)サーバのIPアドレスを問い合わせるDNSクエリを観測しており、アクセス状況を明らかにしたもの。

20150703_pc_001.jpg
シンクホールへのアクセス数推移(グラフ:PwC)

同社によれば、5月から6月にかけて、政府や官公庁のほか、金融機関、航空、自動車、エネルギー関連企業など国内の複数の組織、企業からシンクホールに対する継続的な通信を観測。6月2日には1日あたり200件以上のアクセスを観測し、ピークを迎えた。同日以降は、小康状態だったが、6月21日以降に再びアクセスが増加。6月22日には350件を上回るアクセスがあったという。

すでにマルウェア感染が判明し、複数の組織がマルウェア感染を公表しているが、感染を把握できずに現在もマルウェアによる外部通信を許している企業や組織が多数存在すると分析。同社では感染組織に対し、直接あるいは第三者機関を通じて情報を提供したという。

またシンクホールに対する通信内容や、攻撃に利用されたツール、マルウェアなどを収集、分析したところ、中国に関連する2グループの攻撃であることを確認。同社では「Red Apollo」「Red Wave」と命名しており、観測した約9割は、「Red Apollo」による攻撃だった。

(Security NEXT - 2015/07/03 ) このエントリーをはてなブックマークに追加

PR

関連記事

IoCによる標的型攻撃対策に限界 - Kasperskyが事例挙げて指摘
国内着弾標的型攻撃の解析情報をYARAルールで - マクニカネット
TwoFive、ログの機械学習による脅威検知製品 - アナリスト解析を再学習
委託先に標的型攻撃、電気通信設備の資料が流出か - 国交省
標的型攻撃の72%が正規機能を悪用 - 「CSVファイル」悪用が1割強
2019年2Q、標的型メール攻撃75件 - 約7割がプラント関連
2018年度下半期の標的型攻撃相談は258件 - メール以外で侵入されたケースも
2019年2Qは「フィッシング」「マルウェアサイト」が増加
「データ破壊」狙うイランのサイバー攻撃が増加 - 米政府声明
カンファレンス「JSAC 2019」の講演動画がYouTubeで配信開始