国内複数組織からマルウェアによる外部通信 - 6月後半よりさらに増加

プライスウォーターハウスクーパース（PwC）は、国内の複数組織よりマルウェアが原因と見られる外部通信が発生していることを明らかにした。これらはいずれも中国の攻撃グループによるものだったという。

同社では、攻撃者が利用したドメインを取得。設置したDNSシンクホールを利用して、感染パソコンからコマンド＆コントロール（C＆C）サーバのIPアドレスを問い合わせるDNSクエリを観測しており、アクセス状況を明らかにしたもの。

シンクホールへのアクセス数推移（グラフ：PwC）

同社によれば、5月から6月にかけて、政府や官公庁のほか、金融機関、航空、自動車、エネルギー関連企業など国内の複数の組織、企業からシンクホールに対する継続的な通信を観測。6月2日には1日あたり200件以上のアクセスを観測し、ピークを迎えた。同日以降は、小康状態だったが、6月21日以降に再びアクセスが増加。6月22日には350件を上回るアクセスがあったという。

すでにマルウェア感染が判明し、複数の組織がマルウェア感染を公表しているが、感染を把握できずに現在もマルウェアによる外部通信を許している企業や組織が多数存在すると分析。同社では感染組織に対し、直接あるいは第三者機関を通じて情報を提供したという。

またシンクホールに対する通信内容や、攻撃に利用されたツール、マルウェアなどを収集、分析したところ、中国に関連する2グループの攻撃であることを確認。同社では「Red Apollo」「Red Wave」と命名しており、観測した約9割は、「Red Apollo」による攻撃だった。

（Security NEXT - 2015/07/03 ） ツイート

PR

関連記事

攻撃キャンペーン「Dangerous Password」の最新手口を分析
J-CSIP、脅威情報22件を共有 - 海外関連会社への攻撃報告も
1Qのインシデント件数はほぼ横ばい - 「スキャン」が増加
標的型攻撃メールでPCがマルウェア感染 - 東大研究機関
「Outlook」にゼロデイ脆弱性、MSが悪用確認スクリプトを用意
「10大脅威」の解説資料が公開 - 自組織に応じた対策を
VPN経由でランサム攻撃 - 多要素認証の一時停止中に侵入
正規の「リモート管理ソフト」が攻撃者のバックドアに - 米政府が警戒呼びかけ
「情報セキュリティ10大脅威 2023」 - 組織は「ランサム」が引き続き首位
2022年4Qインシデント件数は減少 - ウェブ改ざんなど減少