標的型攻撃の72％が正規機能を悪用 - 「CSVファイル」悪用が1割強

添付ファイルで用いられた攻撃手法（グラフ：トレンドマイクロ）

これらファイルで用いられた攻撃手法を見ると、マクロを利用する手口が56％と過半数を占める。

次いで「Excel」に関連付けられていることが多い「CSVファイル」にコードを挿入し、アプリケーション間の通信を行う「Dynamic Data Exchange（DDE）」などの悪用を試みる手口が14％で続いた。

また「svgファイル」に「JavaScript」を格納した手口が2％あり、これらを合計すると72％で正規の機能を悪用している。

一方「Word」の脆弱性を悪用するものが12％、「PowerPoint」の脆弱性を悪用するものが8％だった。

標的の組織に侵入して端末を制御するための遠隔操作サーバとの通信を確認した遠隔操作ツール37件を分析したところ、24％がIPアドレスで指定。またサイトの改ざんやドメインのハイジャックなどと見られるケースも14％にのぼっている。一方、62％では国内の企業や組織、クラウドサービスなどの正規サイトに見せかける文字列を含むドメインを用いていた。

侵入した組織内での内部活動では、マルウェアではなく一般向けに提供されているツールを悪用し、隠ぺいする手法が引き続き確認されている。具体的には、標的型攻撃を模倣できる商用ツール「Cobalt Strike」やオープンソースの遠隔操作ツール「QuasarRAT」が利用されていた。

（Security NEXT - 2019/08/21 ） ツイート

PR

関連記事

国内インシデント、前四半期比9.4％増 - サイト改ざんが1.8倍
LinuxカーネルのUSBオーディオドライバ脆弱性 - 攻撃の標的に
IPA、「情報セキュリティ10大脅威 2025 組織編」の解説書を公開
「セキュリティ10大脅威2025」 - 「地政学的リスク」が初選出
2024年4Qのインシデントは約8％増 - 「FortiManager」脆弱性の侵害事例も
北朝鮮による暗号資産窃取に警戒を - 日米韓が共同声明
中国関与が疑われる「MirrorFace」の攻撃に注意喚起 - 警察庁
先週注目された記事（2024年11月3日〜2024年11月9日）
3Qのインシデントは2割減 - ただし「サイト改ざん」は倍増
2Qはインシデントが約8.5％増 - フィッシングが増加