Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

標的型攻撃で多用される「パスワード付き圧縮ファイル」に警戒を

2015年に入り、標的型攻撃メールでは、実行ファイルを送りつける手法が中心となっているが、セキュリティ対策製品の検知を逃れるため、実行ファイルを圧縮し、パスワードを設定しているケースが目立っており、注意が必要だ。

サイバー情報共有イニシアティブ(J-CSIP)における2015年第2四半期の統計情報を情報処理推進機構(IPA)が取りまとめたもの。J-CSIPは、標的型攻撃の情報を共有、被害防止を推進する組織で、製造業や重要インフラ事業者など61組織が参加している。

20150804_jc_002.jpg
不正接続先(グラフ:IPA)

同四半期における参加組織からの報告は104件で、前四半期の109件からほぼ横ばい。そのうち標的型攻撃メールと判断されたケースは28件で、前四半期の79件を大きく下回った。

メールの送信元を見ると、18%が日本国内からで、「韓国(4%)」が続いた。一方メールの送信元IPアドレスがメールヘッダに残らないメールサービスが利用されたことにより、送信国のIPがわからないケースが78%にのぼっている。

接続先は、香港が47%を占めて最多。日本国内が37%で続く。国内の端末が接続先とされるケースは前四半期と同様4割弱にのぼっており、乗っ取られた端末が悪用されたものとみられている。前四半期には58%を占めた米国は、6%へと縮小した。

攻撃手法としては、添付ファイルが悪用するケースが68%にのぼる。セキュリティ製品で削除した18%をあわせると9割に近い状況。リンクを利用するケースは7%だった。

20150804_jc_001.jpg
標的型攻撃メールの種類(グラフ:IPA)

添付ファイルを確認できたケースについては、すべて実行ファイルだったという。前四半期では、マクロを悪用するOfficeファイルを悪用した攻撃が確認されたが、今回は報告されなかった。

送り付けられる実行ファイルは、「zip」や「lzh」などを用いて圧縮されており、セキュリティ対策製品による検知を回避するため、約6割でパスワードが設定されていた。マルウェアのチェックが行われておらず、リスクがあることを利用者側で意識する必要があると指摘している。

(Security NEXT - 2015/08/05 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

2020年2Qインシデント、前四半期比1.3倍 - フィッシングなど増加
標的型攻撃のレスキュー支援、2019年度は139件
4社に1社、パッチ適用頻度は数カ月に1度
標的型攻撃、「圧縮ファイル」利用が前年比2.5倍に
2019年4Qの標的型攻撃メールは47件 - 情報提供の7割が「Emotet」
IPAが「10大脅威2020」を発表 - 「内部不正」「IT基盤の障害」など順位上昇
2018年「セキュリティ10大脅威」 - 注目高まる「サプライチェーン攻撃」
2019年4Qのインシデントは減少 - フィッシングは増加
長期休暇に向けてセキュリティ対策の再確認を
標的型攻撃相談、2019年度上半期は221件 - 80件でレスキュー支援