Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

標的型攻撃で多用される「パスワード付き圧縮ファイル」に警戒を

2015年に入り、標的型攻撃メールでは、実行ファイルを送りつける手法が中心となっているが、セキュリティ対策製品の検知を逃れるため、実行ファイルを圧縮し、パスワードを設定しているケースが目立っており、注意が必要だ。

サイバー情報共有イニシアティブ(J-CSIP)における2015年第2四半期の統計情報を情報処理推進機構(IPA)が取りまとめたもの。J-CSIPは、標的型攻撃の情報を共有、被害防止を推進する組織で、製造業や重要インフラ事業者など61組織が参加している。

20150804_jc_002.jpg
不正接続先(グラフ:IPA)

同四半期における参加組織からの報告は104件で、前四半期の109件からほぼ横ばい。そのうち標的型攻撃メールと判断されたケースは28件で、前四半期の79件を大きく下回った。

メールの送信元を見ると、18%が日本国内からで、「韓国(4%)」が続いた。一方メールの送信元IPアドレスがメールヘッダに残らないメールサービスが利用されたことにより、送信国のIPがわからないケースが78%にのぼっている。

接続先は、香港が47%を占めて最多。日本国内が37%で続く。国内の端末が接続先とされるケースは前四半期と同様4割弱にのぼっており、乗っ取られた端末が悪用されたものとみられている。前四半期には58%を占めた米国は、6%へと縮小した。

攻撃手法としては、添付ファイルが悪用するケースが68%にのぼる。セキュリティ製品で削除した18%をあわせると9割に近い状況。リンクを利用するケースは7%だった。

20150804_jc_001.jpg
標的型攻撃メールの種類(グラフ:IPA)

添付ファイルを確認できたケースについては、すべて実行ファイルだったという。前四半期では、マクロを悪用するOfficeファイルを悪用した攻撃が確認されたが、今回は報告されなかった。

送り付けられる実行ファイルは、「zip」や「lzh」などを用いて圧縮されており、セキュリティ対策製品による検知を回避するため、約6割でパスワードが設定されていた。マルウェアのチェックが行われておらず、リスクがあることを利用者側で意識する必要があると指摘している。

(Security NEXT - 2015/08/05 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Trend Micro CTF 2018」が開催 - 9月に予選、決勝は12月
2018年2Qの「標的型攻撃メール」は43件 - 「CVE-2017-11882」の悪用目立つ
2017年度「標的型攻撃」 は幅広い分野が標的に - 「ANEL」「Taidoor」「PLEAD」などのツールを悪用
2018年2Qのインシデント件数は減少 - サイト改ざんなどは増加
「標的型攻撃」の相談、半年で158件 - 前期比4割減
企業の約8割が「BEC」を経験 - 件名に「Re:」「Fwd:」追加が1.5倍
緊急対応支援、「サーバ不正侵入」が半数超 - 仮想通貨発掘スクリプトが埋め込まれる被害も
企業3割、標的型攻撃メールを受信 - 17%がマルウェア感染
2018年1Qの「標的型攻撃メール」は101件 - 標的の8割がプラント関係者
研究者が注目した「10大脅威」、具体的な手口や対策は? - IPAが解説資料