「持続的標的型攻撃」は、時間・手法・手段を問わず、特定の組織に狙いを定めて執拗に攻撃および侵入を繰り返し、目的達成のために、標的のネットワーク内部に潜伏し続ける標的型攻撃を指します。こうした標的型攻撃の最終目的は、通常、攻撃者が意図する機密情報を、標的とする組織から窃取することです。

「TrendLabs(トレンドラボ)」では、これまでも持続的標的型攻撃について理解を深めるためのFAQ形式の記事を提供してきました。

今回、トレンドマイクロがこれまでに確認した持続的標的型攻撃の事例を取り上げ、各項目の詳細を説明します。もちろん、攻撃者がここで取り上げる特定の手法を今後も継続して利用するとは限りません。しかし、過去の状況を鑑みて、攻撃者は、常に、あらゆる攻撃手法を講じて、さまざまな攻撃ツールを利用して、検出の回避を画策していることを理解する必要があります。

どのような組織・企業が標的となっているのでしょうか?

「TrendLabs(トレンドラボ)」では、持続的標的型攻撃の標的として、広範囲にわたり、市民社会団体、政府関連組織、軍事関連ネットワークおよび企業が持続的標的方攻撃の標的として狙われていることを確認しています。ただし、標的となる組織がどのように選ばれるのか「方程式」は存在しません。というのも、攻撃者は、自身の最終目的次第で標的となる組織を選別するからです。

トレンドラボがこれまでに公開した持続的標的型攻撃キャンペーンの各事例から、標的となった組織は以下のとおりとなっています。

  HYDRAQ LURID Luckycat IXESHE TAIDOOR
標的となった組織 市民社会ネットワーク団体、教育、企業、政府機関、軍関連機関 在外公館、政府省庁、ロシアおよびCIS諸国の宇宙関連の政府機関 航空宇宙、エネルギー、エンジニアリング、運輸、軍事研究、チベット人活動家 電機メーカ、ドイツの電気通信事業会社、東アジア圏の政府機関 台湾に拠点を置く政府機関

また、他のキャンペーンでは、世界各国の重工業や貿易産業、航空、メディア関連の組織が狙われていることも判明しています。

持続的標的型攻撃に利用されるメールの特徴とは?

これまでに確認した持続的標的型攻撃キャンペーンの事例の多くにおいて、標的に関連する内容を含む標的型メールが攻撃の発端となっています。この標的型メールには、脆弱性を利用する不正なファイルが添付されており、脆弱性を突くエクスプロイトコードは、Microsoft Office製品やAdobe製品のファイルに頻繁に埋め込まれています。

  HYDRAQ LURID Luckycat IXESHE TAIDOOR
侵入経路 標的型メールまたは、エクスプロイトコードが埋め込まれた不正なWebサイトに誘導する各オンライン上でのコミュニケーションツールよる着信メッセージ 件名と不正なPDFファイルが添付されただけのメール。内容の記載がない。

メールは、著名人からの送信を装っていた。 		標的に関連する内容を含む標的型メールで、脆弱性を突く不正なファイルが添付されていた。 標的に関連する内容を含む標的型メールで、脆弱性を突く不正なファイルが添付されていた。 偽の文書ファイルが添付された標的型メール。文書ファイルを誤って開くと、正規の内容が表示されるが、その背後で不正活動が実行されることとなる。

こうした標的型メールの重要な要素は、ソーシャルエンジニアリングの手法が利用されていることです。侵入目的の攻撃や事前のソーシャルエンジニアリングによる攻撃を仕掛けるに先立った標的となる組織の事前調査により、こうしたメールは、標的となった組織の受信者が思わず開封してしまうように効果的に細工が施されています。攻撃者は、メールが本物であるかを装うたためにさまざまな手法を利用することができるのです。

  • Yahoo! や Gmail といった人気の無料Webメールから標的型メールを送信

  • 標的となった受信者にメールの内容を信用させるため、事前に乗っ取ったアカウントを利用して標的型メールを送信

  • 標的となった組織・企業のメールアドレスや著名人のメールアドレスを装い、持続的標的型攻撃キャンペーン「LURID」で利用されたメールは、ダライ・ラマの事務所から送信されたように偽装
    「Nitro」攻撃では、企業のIT部署からを装うメールが利用されていた。

  • 標的型メールは、標的に関連する内容を含むように細工が施されている
    例えば、2011年初めに報告されたRSAが標的となった標的型攻撃では、「2011 Recruitment plan(日本語訳:2011年採用計画)」という件名のメールが同社従業員宛に送信された。

  • 標的に関連する名前が付けられた添付ファイルを利用
    持続的標的型攻撃キャンペーン「Luckycat」において、例えば、インドに拠点を置く標的となった組織は、インドの弾道ミサイル防衛プログラムに関する情報を含むように装っていた。

標的型メールは脆弱性のみを利用しますか?

持続的標的型攻撃において、標的とするネットワークに侵入するために利用されるメールは、通常、脆弱性を突く不正なファイルが添付されています。

  HYDRAQ LURID Luckycat IXESHE TAIDOOR
利用される脆弱性 Internet Explorer
CVE-2010-0249 		Adobe Reader and Acrobat
CVE-2009-4324		 Microsoft Office
CVE-2010-3333

Adobe Reader and Acrobat
CVE-2010-2883
CVE-2011-2462

Adobe Flash Player
CVE-2010-3654
CVE-2011-0611		 Microsoft Excel
CVE-2009-3129

Adobe Reader and Acrobat
CVE-2009-4324
CVE-2009-0927

Adobe Flash Player
CVE-2011-0609
CVE-2011-0611		 Adobe Reader and Acrobat
CVE-2009-4324
CVE-2010-1297
CVE-2010-2883

Microsoft Office
CVE-2011-0611
CVE-2012-0158

Microsoft PowerPoint
CVE-2011-1269

ただし、トレンドラボでは、同様に不正なファイルをダウンロードするリンクや実行ファイルを含んだ圧縮ファイルを添付した事例も確認しています。

こうした圧縮ファイルに含まれる実行ファイルは、トロイの木馬型不正プログラムで他の不正プログラムを作成またはダウンロードする役割を果たします。また、バックドア型不正プログラムの場合もあり、不正リモートユーザと通信する機能を備えています。さらに、特定の情報を収集して不正リモートユーザに感染PCの情報を送信する機能を備えた不正プログラムの場合も確認しています。

攻撃者はどのようにC&Cサーバとの通信を確立しますか?

攻撃者は、各キャンペーンにおける次の攻撃段階に備えて、不正プログラムとの通信する手段を必要とします。攻撃者は、標的とするネットワーク上に作成した第1段階の不正プログラムを通じてC&Cサーバと接続して通信を確立します。

また、攻撃者は、自身の検出や解析調査、削除を困難にさせるために、さまざまな隠ぺい手法や回避策を利用しています

  LURID Luckycat IXESHE
要注意な攻撃手法 HTTP経由のC&Cサーバとの通信。また、通信内容は、常に暗号化 さまざまなドメイン名でC&Cサーバを稼働させるために、無料Webホスティングサービスを多用。一方で、安定稼働を維持するために専用の「仮想専用サーバ(VPS)」も利用 「ダイナミックDNS(DDNS)」、あるいは、過去、侵入に成功したネットワーク内部にある感染サーバを利用

持続的標的型攻撃はどのぐらい期間続けられているのですか?

持続的標的型攻撃キャンペーンは、できるだけ長期間検出されずに侵入したネットワーク内を縦横無尽に探索します。例えば、キャンペーン「GhostNet」では、約2年もの間(660日間)、潜伏していました。このように、持続的標的型攻撃において、攻撃者は、自身の目的を達成するために侵入したネットワーク内にできるだけ長く潜伏し、ネットワーク上を縦横無尽に探索して目的の情報を探しだして窃取することを画策します。

  HYDRAQ LURID Luckycat IXESHE TAIDOOR
確認時期 2009年中頃から2009年12月 少なくとも2006年7月頃から継続中 少なくとも2011年6月頃から継続中 少なくとも2009年7月頃から継続中 少なくとも2009年3月頃から継続中

持続的標的型攻撃の攻撃期間から、攻撃者がセキュリティ専門家や解析者の監視の目を巧みにすり抜けていることが伺えます。

持続的標的型攻撃に対応するソリューションとは?

トレンドマイクロでは、各企業が、従来型のセキュリティ対策に補完して、持続的標的型攻撃によってもたらされるリスクを軽減することができる多層防御によるソリューションやリアルタイムでのスレットマネージメント要件に合致した包括的なセキュリティリスクマネージメント戦略導入を検討するようお勧めします。「Deep Discovery」は、潜在化している脅威をリアルタイムで独自に発見して、リスクを予防、発見、軽減するための詳細な分析と有益なインテリジェンスを提供して、こうした標的型攻撃の脅威から防御します。