攻撃者は不正接続先マシンを攻撃インフラとして使い回す--J-CSIPレポート(IPA) | ScanNetSecurity
2020.10.27(火)

攻撃者は不正接続先マシンを攻撃インフラとして使い回す--J-CSIPレポート(IPA)

IPAは、2016年10月~12月の四半期における「サイバー情報共有イニシアティブ(J-CSIP)運用状況」を公開した。

脆弱性と脅威 脅威動向
独立行政法人情報処理推進機構(IPA)は1月26日、2016年10月~12月の四半期における「サイバー情報共有イニシアティブ(J-CSIP)運用状況」を公開した。同四半期、J-CSIP参加組織(7つのSIG、全87参加組織)からIPAに対し、標的型攻撃メールと思われる不審なメール等の情報提供が396件(前四半期は218件)行われ、その情報をもとにIPAからJ-CSIP参加組織へ22件(同32件)の情報共有が実施された。

同四半期の標的型攻撃メールの特徴では、WindowsShellによるスクリプトが埋め込まれたショートカット(lnk)ファイルを圧縮ファイルに格納した攻撃が複数確認された。また、ファイルの不正接続先は複数確認された標的型攻撃メールと同一であったが、アクセスするタイミングによってダウンロードされるウイルスが変化したという。

このことから、攻撃者は不正接続先であるマシンを「攻撃インフラ」として使い回し、標的などによりウイルスを使い分けているとみている。また、不正な「コード署名」が行われたウイルスや、1通のメールにExcel文書とPDF文書の2つのファイルが添付され、どちらを開いてもウイルスに感染するケースも確認された。

同四半期、標的型攻撃メールとみなした情報は19件であった。IPアドレスから判断される送信元はアメリカが42%で、韓国、日本と続いた。不正接続先は香港が48%で、アメリカ、韓国と続いている。メールの種別では95%が「添付ファイル」、添付ファイル種別では81%が「実行ファイル」であった。これらの約半数は、zip形式の圧縮ファイルの中に実行ファイル(exeファイル)が格納されていた。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/15~11/30迄 創刊22周年記念価格提供中★★
★★10/15~11/30迄 創刊22周年記念価格提供中★★

2020年10月15日(木)~11月30日(月) の間 ScanNetSecurity 創刊22周年記念価格で提供。

×