ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. Techコラム
ここから本文です。

Techコラム

大手企業に対する標的型攻撃で使われた「Elirks」と「PlugX」 その手法とは

3. 国内標的型サイバー攻撃の特徴

当該事案の経過は、以下の通りです。取引先を偽装した不正なメールを開封することにより端末がマルウェアに感染し、組織内の別の端末やサーバへ秘密裡に感染拡大するのは、標的型攻撃の典型的な一例ともいえます。

IPAを基点としてサイバー攻撃情報の共有を行う「サイバー情報共有イニシアティブ(J-CSIP)」は、2016年7月にJ-CRAT分析レポートを公開しました(注4)。2015年11月から2016年3月に発生した137通の標的型メールを分析しています。これによると、企業・団体の正規メールアカウントが不正利用されたのが94%で、フリーメールはわずか6%、また、添付ファイルの92%は実行ファイルで、その多くがパスワード付きzip 形式でした。Trend Micro社の報告でも、実在する組織・個人のメール詐称が87%と報告されています(注5)。
メールの件名や本文については、業界団体や公的機関を詐称するケースが多く、セミナーや会員に関する「案内」を題材にしているケースがよく見られ、メールの受信者に、違和感を与えない工夫が凝らされています。

メール送付手段の割合:
フリーメール/アカウント乗っ取り
(注4)

From情報と本文を含めた詐称における
実在組織/個人の割合(注5)

メールのテーマ(注4)

最後に

フリーメールを使った攻撃は、ばらまき型メール攻撃に多く見られますが、標的型メール攻撃の場合には、正規のメールアカウントが詐称されています。更に、送信元として違和感を与えないメールの件名と本文を使用し、配信時間も日本の業務時間帯(9時~17時)と勤務日(月~金)を考慮して攻撃が行われています。同一組織に対して複数の攻撃が執拗に行われているため、攻撃検知能力の向上と情報共有の強化が重要です。米国などでは「止めないセキュリティ」が推奨されています。これは、マルウェアを検知してもすぐには駆除せず、攻撃者を一定期間泳がせた後、一網打尽で駆除する考え方です。日本国内では受け入れ難いのですが、マルウェアを一つでも検知した場合、組織内の情報が攻撃者側に漏れていることを前提とした対策が必要です。インシデント調査をすると、十分なログが保全されておらず、感染源や感染ルート、被害規模も把握できないケースもありますので、エンドポイントの監査証跡をいかに担保するかが重要な鍵となります。

おすすめコンテンツ

【動画】今、企業の情報資産を守るために必要なこととは?
-NECからのご提案-

画面キャプチャ

外部攻撃(標的型攻撃、不正アクセス)、内部不正の両面から狙われる企業情報。どのように守っていくのか、どこから始めるべきなのか、日々ご相談をいただいています。
NECが考える、企業がケアすべき情報の流出経路とその脅威、そして今求められる対策について、CG動画(5分)でコンパクトにご紹介します。

【診断】設問に答えてその場でわかる!
あなたの会社にいま必要な内部情報漏えい対策とは?

画面キャプチャ

昨今の相次ぐ情報漏えい事件を背景に、システム管理者の不正防止といった内部対策の重要性が増しています。この診断を通して貴社の対策状況を把握いただき、今後必要となる対策のヒントとしてご活用ください。

ページの先頭へ戻る