標的型攻撃のターゲットは組織内から組織外の個人へ～サプライチェーンを形成する標的型攻撃～

標的型攻撃のターゲットは組織から個人へ　～サプライチェーンを形成する標的型攻撃～

2022年に活動を確認した標的型攻撃

トレンドマイクロでは、2012年より現在まで、国内を狙う標的型攻撃の分析レポートを毎年公開しています。今回は、国内標的型攻撃分析レポート2023年版より、トレンドマイクロが日本国内で観測した2022年1年間の事例を中心に、特に法人組織にとって深刻な被害に繋がる巧妙な攻撃とその攻撃手法に焦点あてて、解説します。
参考：日本を狙う標的型攻撃に立ち向かうために、知っておくべき5つのこと

2022年にトレンドマイクロが日本国内で観測した標的型攻撃では、大きく2つのキャンペーンを観測しました。『マルウェア「LODEINFO（ロードインフォ）」を用いた攻撃キャンペーン：別名MirrorFace』と標的型攻撃者グループ「Earth Yako（アースヤコ）」による攻撃キャンペーン：別名Operation RestyLink』です。

この2つのキャンペーンに類似する攻撃については、2022年11月30日に警察庁・NISCからも共同の注意喚起が行われています。

「学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について」
11月30日（警察庁・内閣サイバーセキュリティセンター）

LODEINFOは、2019年12月以来現在まで国内でのみ観測している標的型攻撃（攻撃者未決のため本記事では便宜上マルウェア名で記載）です。主に国内の有識者などを攻撃対象として継続して活動を確認しています。活発にマルウェアをバージョンアップし続ける標的型攻撃であることがわかっており、2019年12月から2023年4月の間に26回ものバージョンアップを確認しています。これは、平均すると1.5か月に1回のバージョンアップとなり、活発に攻撃を展開していることが伺えます。2022年に確認した技術的特徴としては、標的型メールにイメージファイルの拡張子（ISO）ファイルなどを添付するものや、ファイルレスマルウェア攻撃（標的にしたマシンにソフトウェアをインストールせずに実行する攻撃）などを確認しています。

Earth Yakoは、2021年10月頃から国内で活動している標的型攻撃者グループです。初期侵入の方法として、ターゲットと複数回メールのやり取りを行った上でマルウェアをダウンロードさせる手口を行うことがわかっています。さらには、Dropboxなどの正規のクラウドサービスをコマンド&コントロール（C&C）サーバとして悪用していることもわかっています。また、攻撃は日本以外にも台湾で確認しています。

2つの標的型攻撃の共通点

LODEINFOとEarth Yakoの標的型攻撃に共通した特徴は以下の2点が挙げられます。

1つ目は、大学教授やシンクタンク研究員といった特定分野の有識者などの「組織外の個人」が主要な攻撃対象となっている点です。関連の攻撃では個人のフリーメールアドレスなどに標的型メールが着弾しており、今までの標的型メールが、「組織、もしくは組織の中の個人」を標的としてきたことと対照的な傾向であると言えます。

個人を対象とした標的型メールのイメージ（「依頼」に偽装した標的型メール）：トレンドマイクロ作成

このような個人へのメールアドレスはどのようにして、入手しているのでしょうか。今回標的になっているような学術機関におけるメールアドレスはインシデントによって漏洩していたり、そもそも外部に公開されているということがあります。例えば、トレンドマイクロでは、サイバー攻撃による大学や研究機関の2022年のインシデント公表数は21件、公表されている個人情報の漏えい件数は合計で4万8000件以上であることを確認しています。また、複数の大学や研究機関を跨って業務する研究者などは、特定の組織のメールアドレスではなく、個人のフリーメールアドレスを主な連絡先として使う場合が少なくありません。大学のシラバスにプライベートアドレス（gmail等）が掲載されており、外部にも公開されている事例をトレンドマイクロでも確認しています。

2つ目は、近年日本で確認される攻撃では、過去に標的型グループの傾向として観測されていた「攻撃グループや攻撃キャンペーン毎の関心分野」といった特徴は薄まってきており、攻撃者が国内外の情勢に連動した、その時々に価値のある情報を窃取しようとしている傾向が強まっているとみられる点です。

国内外の情勢に連動した情報窃取活動が行われることによって、攻撃対象・業種が頻繁に更新・拡大され続けており、攻撃目的やモチベーションも不明確になっています。加えて、ターゲットが組織外の個人になっていることで、組織では実施できていた被害状況の把握や詳細の調査が難しくなっており、攻撃の全体像が掴みにくくなっているというのが昨今の標的型攻撃の特徴であるといえます。

さらには、今までは攻撃に用いられるツールは攻撃者自身が開発することが一般的でしたが、昨今は商用ツールの悪用、アンダーグラウンドからの調達や委託などが進んでおり、さらにはサイバー傭兵など、攻撃自体が外部委託されるケースも出てきていることから、標的型攻撃の「サプライチェーン」形成が進んでいることがわかっています。このサプライチェーンが形成されることによって、攻撃元を突き止めることが今まで以上に難しくなっています。

日本企業として取るべき対策とは

組織外個人を対象とした攻撃が拡大し、標的型攻撃のサプライチェーン形成が進む中で、日本企業はどのような対策を取っていくべきなのでしょうか？対策として考えられることを3つ挙げます。

・組織外個人のアウェアネスが重要に
標的型攻撃においては、自組織や自組織に紐づくサプライチェーンに加えて、組織外個人が標的になっていることを認識しておく必要があります。そのため、組織としての対策に加え、個人のアウェアネスが今まで以上に重要になっていると言えます。標的になりうる個人に対しては、いつもと異なるメールなどに注意を払うことを呼びかける他、攻撃の可能性に気づいた場合、関係する組織や、専門コミュニティに情報を共有し相談することなどを啓発していくべきでしょう。

・標的となっている業界は、啓発活動を連携して取り組むべき
標的となっている業界は、関係のある組織に対してだけではなく、関係する組織外の個人も含めてアウェアネスを持ってもらうための情報共有を行う必要が出てきています。今まで以上に警鐘を鳴らす範囲を広げて、個人を含めた全体のアウェアネスレベルの向上に務めるべきとなっています。

・組織・業界・国をまたいだ情報共有活動の必要性
標的型攻撃におけるサプライチェーン形成が進むことによって、点ではなく線で繋がったサイバー攻撃が今まで以上に展開されている可能性が出てきています。そのため防御側も点ではなく線で守ることが重要になっています。個々の組織が受けたサイバー攻撃の内容などを情報共有する文化や枠組みが必要になっていると言えるでしょう。すでにNISCとJPCERT/CCではサイバーセキュリティ協議会において、このような取り組みを実施しており、2023年3月にはNISCを中心とした事務局から「サイバー攻撃被害に係る情報の共有・公表ガイダンス」が公開されています。必要に応じて、これらの政府の活動と連携しながら、企業においても対策を進めていくべきでしょう。