トレンドマイクロは、2012年3月29日(米国時間)、「Luckycat」と呼ばれる一連の攻撃を調査したリサーチレポートを公開しました。この攻撃に関しては、今月 Symantec により初めて情報が公開されましたが、トレンドマイクロ独自の調査によって、この攻撃そのものの詳細だけでなく、標的型攻撃がどのように行われているのかをさらに明らかにすることができました。今回の調査で明らかになった事実は、以下のとおりです。
「標的型攻撃」を理解するためには、この攻撃自体が「作戦活動(キャンペーン)」であるという点を理解する必要があります。標的型攻撃メールによって行われる個々の攻撃は、作戦活動全体の一部分でしかありません。こうした調査手法により、Luckycat のような一連の標的型攻撃について、はるかに有益な情報を生み出すことができます。「攻撃を作戦活動として捉える考え方」および「作戦活動自体への追跡調査」は、ユーザやネットワークの保護に際して実用性のある「スレットインテリジェンス」を生み出すためにも不可欠となります。
攻撃者は、Symantec の公開情報にあるインドの軍事研究施設を標的としていただけでなく、インドの他の重要機関やチベット人活動家、そして日本も標的としていたことが判明しました。さらに攻撃者は、攻撃基盤として使い捨ての無料ホスティングサービスから専用の仮想専用サーバ(VPS)のような多岐にわたるインフラを利用していることも判明しました。
Luckycat を仕掛けた攻撃者は、2010年4月に確認され依然として活動を続ける「Shadow Network」など、他の標的型攻撃とも関連する不正プログラム攻撃と同じインフラを利用、あるいは提供していることも明らかになりました。また、設置したバックドアを利用して、別の不正プログラムを送り込み利用していることも明らかになってきました。さらに、Luckycat キャンペーンの中で 90 もの攻撃が行われていることも突き止めています。
存在を偽るために匿名化技術を利用していることなど、トレンドマイクロは攻撃者のオペレーション能力の一端を把握することができました。また、攻撃者が使っていた中国で人気のインスタントメッセンジャー「QQ」のアドレスを通じて、中国でよく知られたハッカーフォーラム「Xfocus」や、中国に拠点を置く「Security Institute of Sichuan University」などの情報セキュリティ関連機関にまで追跡調査しました。
「Luckycat」に関する詳細については、以下からレポートをダウンロードしてご一読ください
https://inet.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=81
http://www.trendmicro.com/cloud-content/us/pdfs/
security-intelligence/white-papers/wp_luckycat_redux.pdf
明確な動機を持つ攻撃者は、強固に守られたネットワークでさえ突破できる可能性があります。こうしたことから、企業は標準的なセキュリティ対策の導入だけでなく、攻撃を検知、軽減すること、そして情報資産を中心とした戦略を採用することが必要です。例えば、「Trend Micro Threat Management Solution」といったトレンドマイクロのテクノロジーによって、標的型攻撃から守るのに必要となる、ネットワークの可視化、把握、そしてコントロールを実現することができます。
 |
|
|
](/wp-content/uploads/2012/03/120330comment02.jpg) |
|
|
参考記事:
by Nart Villeneuve (Senior Threat Researcher)
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)