トレンドマイクロでは、2021年の1年間に確認した、日本国内における「標的型攻撃」に関しての分析を行いました。ネットワークに侵入する攻撃は、法人組織にとっては深刻な被害につながりかねない危険な存在です。またこの危険な攻撃の背後には、一般に「State-Sponsored」などと呼ばれる国家や政府との関連が推測される攻撃者の存在が見え隠れします。攻撃者は標的組織が持つセキュリティ上の弱点を見逃さず、彼らにとって最も適した攻撃手法を用いて侵入を試みます。
近年のマルウェアは、自身のネットワークトラフィックを隠匿するために暗号化を行うことが増えています。一般的なネットワーク通信の暗号化が普及していることを考えると、これは当然のこととも言えます。Googleの透明性レポートでは、Google Chromeブラウザを経由するネットワークトラフィックの大部分はHTTPSトラフィックであることが報告されています。
トレンドマイクロでは過去6年間で、汎用性の高いマルウェアおよび標的型攻撃に用いられるマルウェアの両方で暗号化が多用されていることを確認しています。これらの暗号化は、検出回避や暗号化された通常のトラフィックに不正な通信内容を混入させるために行われます。マルウェアだけでなく、Cobalt Strike、Metasploit、Core Impactなどの商用のペネトレーションテスト(侵入テスト)ツールでも暗号化が用いられています。これらの事例における証明書の利用は多くの場合、SSL/TLS暗号化通信で通常使用されるX.509証明書の利用にまで及びます。
続きを読む2014年10月に確認された「Secure Sockets Layer(SSL)」に存在する脆弱性「Padding Oracle On Downgraded Legacy Encryption(POODLE)」への修正プログラムは徐々に適用され始めています。トレンドマイクロは、12月、「Transport Layer Security(TLS)」の実装に、「POODLE」と同様の脆弱性が存在する可能性を確認しました。この脆弱性を利用した攻撃が行われると、TLS によって安全が確保された接続が、特定の条件で「Man-In-The-Middle(MitM、中間者)攻撃」に脆弱となり、暗号化されたトラフィックが攻撃者によって解読される可能性があります。
続きを読む