Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

標的型攻撃で多用される「パスワード付き圧縮ファイル」に警戒を

2015年に入り、標的型攻撃メールでは、実行ファイルを送りつける手法が中心となっているが、セキュリティ対策製品の検知を逃れるため、実行ファイルを圧縮し、パスワードを設定しているケースが目立っており、注意が必要だ。

サイバー情報共有イニシアティブ(J-CSIP)における2015年第2四半期の統計情報を情報処理推進機構(IPA)が取りまとめたもの。J-CSIPは、標的型攻撃の情報を共有、被害防止を推進する組織で、製造業や重要インフラ事業者など61組織が参加している。

20150804_jc_002.jpg
不正接続先(グラフ:IPA)

同四半期における参加組織からの報告は104件で、前四半期の109件からほぼ横ばい。そのうち標的型攻撃メールと判断されたケースは28件で、前四半期の79件を大きく下回った。

メールの送信元を見ると、18%が日本国内からで、「韓国(4%)」が続いた。一方メールの送信元IPアドレスがメールヘッダに残らないメールサービスが利用されたことにより、送信国のIPがわからないケースが78%にのぼっている。

接続先は、香港が47%を占めて最多。日本国内が37%で続く。国内の端末が接続先とされるケースは前四半期と同様4割弱にのぼっており、乗っ取られた端末が悪用されたものとみられている。前四半期には58%を占めた米国は、6%へと縮小した。

攻撃手法としては、添付ファイルが悪用するケースが68%にのぼる。セキュリティ製品で削除した18%をあわせると9割に近い状況。リンクを利用するケースは7%だった。

20150804_jc_001.jpg
標的型攻撃メールの種類(グラフ:IPA)

添付ファイルを確認できたケースについては、すべて実行ファイルだったという。前四半期では、マクロを悪用するOfficeファイルを悪用した攻撃が確認されたが、今回は報告されなかった。

送り付けられる実行ファイルは、「zip」や「lzh」などを用いて圧縮されており、セキュリティ対策製品による検知を回避するため、約6割でパスワードが設定されていた。マルウェアのチェックが行われておらず、リスクがあることを利用者側で意識する必要があると指摘している。

(Security NEXT - 2015/08/05 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

2021年1Qの標的型攻撃メール報告は13件 - 「Emotet」関連報告は収束へ
コロナ禍2度目のGW、セキュ対策を再確認 - 感染時リスクも想定を
都内中小企業のセキュリティ対策支援事業を実施 - 東京都
巧妙化するランサム攻撃、被害の多くが「VPN機器」脆弱性に起因
2020年の緊急対応支援、3割強が「Emotet」 - ラック
「情報セキュリティ10大脅威 2021」が決定 - 研究者が注目した脅威は?
2020年4Qの標的型攻撃メールは16件 - 目的不明のバラマキ不審メールも
2020年4Qのインシデントは1割減 - マルウェアサイトは倍増
情報セキュ監査人が選定した2021年のセキュリティトレンド
コロナ禍ではじめて迎える冬期長期休暇 - あらためてセキュ対策の確認を