従来の標的型攻撃と異なる特徴を持つ「キメラアタック」を報告(ラック)

2011年12月16日(金) 17時43分
このエントリーをはてなブックマークに追加
株式会社ラック コンピュータセキュリティ研究所所長 岩井博樹氏の画像
株式会社ラック コンピュータセキュリティ研究所所長 岩井博樹氏
攻撃概要の画像
攻撃概要
2011年傾向のレビュー。「パッチマネージメントをしていれば8~9割は防げる(岩井氏)」また、ラック社の対応案件ではゼロデイ脆弱性を利用した攻撃はゼロ件だったという。の画像
2011年傾向のレビュー。「パッチマネージメントをしていれば8~9割は防げる(岩井氏)」また、ラック社の対応案件ではゼロデイ脆弱性を利用した攻撃はゼロ件だったという。
2011年傾向のレビュー。国内からの通信が増えている。の画像
2011年傾向のレビュー。国内からの通信が増えている。
従来型標的型攻撃の特徴。ワールドワイドに送信元やC&Cサーバが分布する。の画像
従来型標的型攻撃の特徴。ワールドワイドに送信元やC&Cサーバが分布する。
新しい標的型攻撃「キメラアタック」概念図の画像
新しい標的型攻撃「キメラアタック」概念図
キメラアタック感染端末は複数のC&Cサーバへアクセスするの画像
キメラアタック感染端末は複数のC&Cサーバへアクセスする
キメラアタックは画像ファイルの通信に偽装するの画像
キメラアタックは画像ファイルの通信に偽装する
偽装された画像ファイルの通信の内容の画像
偽装された画像ファイルの通信の内容
キメラアタックの侵入後の挙動の画像
キメラアタックの侵入後の挙動
キーロガーの取得ログ例の画像
キーロガーの取得ログ例
Virus Total ではどの結果も1かゼロの画像
Virus Total ではどの結果も1かゼロ
中国語の開発環境を示唆するの画像
中国語の開発環境を示唆する
2012年予測の画像
2012年予測
株式会社ラックは12月16日、都内でプレス向けのブリーフィングを開催し、現在同社が解析中である、新しいタイプの標的型攻撃「キメラアタック(The Chimera Attack)」の概要を説明した。

キメラアタックとはラック社内のコードネームであり、同社ラボの岩井博樹氏によれば、現在、防衛産業や化学メーカーなどで攻撃を確認しているという。この攻撃は、2009年以降に国内外で流行したさまざまな攻撃手法の長所を集めて構成されており、そのため「キメラ」というコードネームがつけられた。

岩井氏は、今回明らかになったキメラアタックと、従来型標的型攻撃との違いとして「添付ファイル付き電子メールではなくスピア型フィッシングであること」「標的型メールの送信元が日本国内であること」「すべてのプロセスが日本国内で完結していること」を挙げた。

C&CサーバとしてのURLが複数用意されており、ログ解析からは画像ファイルを偽装した通信をしているという。正規サイトへの接続と違わないため、URLフィルタリングもホワイトリストも効果が無いという。

キメラアタックは、システム侵入後、「スクリーンショット取得」「キーロガー作動」「ファイルの検索と収集」「パスワードハッシュダンプツール利用」などを行う。

なお岩井氏は、「この事実から何かを言うことはできない」と前置きしたうえで、キーロガーのコード分析によれば中国語の開発環境を示唆する情報が得られたと報告した。

岩井氏はキメラアタックの報告後、2012年のセキュリティ脅威動向を予測し、ハイブリッド化が加速し、キメラアタックとP2P技術の結合などが起こり、さらに進化をする可能性があると語った。
《ScanNetSecurity》

注目ニュース

icon

中国に散在する50を超えるサイバー組織について、組織概要や主要人物、技術水準、対日有害性などを個別に分析した調査レポート「中国対日有害サイバー組織総覧2012」を、12月15日に刊行すると発表した。

icon
2011年に発生した標的型攻撃の一覧(トレンドマイクロ)

トレンドマイクロ株式会社は11月16日、都内で開催した新製品発表記者会見で、「国内における標的型攻撃の傾向と対策」と題した同社セキュリティエヴァンジェリスト染谷征良氏によるブリーフィングを行った。

icon
標的型攻撃の4割は従業員500人未満の企業(シマンテック)

 シマンテック・コーポレーションは17日、「2011年中・小規模企業の脅威に対する意識調査(2011 SMB Threat Awareness Poll)」(英語)の調査結果を発表した。

icon

独立行政法人情報処理推進機構(IPA)は10月25日、特定組織や業界を狙った巧妙かつ執拗な攻撃が国内でも発生している深刻な事態を受け、業界における早期の攻撃情報の収集・分析・共有を図るための相談窓口「標的...

icon
独自IPSシグネチャ等を使用、標的型サイバー攻撃対策支援サービス拡充(ラック)

 ラックは1日、相次ぐ企業や政府機関への標的型サイバー攻撃による被害の早期発見・防御・教育を支援する「標的型サイバー攻撃・対策支援サービス」を拡充し、提供を開始した。

RSS

特集・連載

ピックアップフォト