J-CRATの2020年度下半期活動状況を公開、ネットワーク境界装置から侵入する「ネットワーク貫通型」の特徴を解説

独立行政法人情報処理推進機構（IPA）は6月25日、「サイバーレスキュー隊（J-CRAT）活動状況[2020年度下半期]」を公開した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2021年7月1日（木） 08時05分

　独立行政法人情報処理推進機構（IPA）は6月25日、「サイバーレスキュー隊（J-CRAT）活動状況[2020年度下半期]」を公開した。IPAでは標的型サイバー攻撃の被害拡大防止のため、2014年7月16日に経済産業省の協力のもと、相談があった組織の被害低減と攻撃の連鎖の遮断を支援する活動としてサイバーレスキュー隊（J-CRAT：Cyber Rescue and Advice Team against targeted attack of Japan）を発足、半年に1度のペースで活動状況の報告を行っている。

　2020年度は、相談・情報提供は406件で、そのうちリモートレスキュー支援へ移行したのは102件、うちオンサイト支援を行ったのはは17件であった。

　また本報告期間の初頭に、国内の複数企業を標的とした侵害事案の情報提供があったが、その後公開されたリサーチャやセキュリティベンダの情報によると、2019年3月頃より企業の海外拠点におけるSSL-VPN製品から侵入されたものと報告されている。これらの特徴として、侵入後に設置されたバックドアには攻撃グループのオリジナルと推測される未知のマルウェアが使用されていたこと、バックドアは正規の実行ファイルから多段階の呼出し処理を経て起動する仕組みであったこと、侵害活動後にイベントログの削除といった痕跡消去が行われていたことが挙げられ検出が難しい。

　攻撃グループの帰属に関しては、複数の攻撃手口（TTPs）の類似性及び同時に発見されたマルウェアの種別等から、APT10 並びにBlackTech と呼ばれる攻撃グループの関与が指摘されている。また本オペレーションにおける着目点の一つとして、標的型攻撃メールが侵入経路として使われておらず、J-CRATでは「ネットワーク貫通型」と呼称する、ネットワーク境界に設置された装置からの侵入であると分類している。

　ネットワーク貫通型攻撃を行う場合、侵入の可否は標的組織の使用するネットワーク製品の種類やアカウント設定不備の有無
及び脆弱性対策の状況等に依存し、標的組織は偵察段階で侵入可能な組織をリストアップしたうえで、情報要求に関連する分野の企業や組織との照合を行い、複数の標的組織が選定されていると考えられる。ある組織に対するネットワーク貫通型攻撃が観測された場合、その組織の属する分野はもとより、さまざまな組織に対する攻撃が既に広範囲に行われているとみなして警戒する必要がある。

　また本報告では2020年3月頃より、日本の安全保障や北朝鮮関係の有識者に対する執拗なフィッシングメールが継続的に観測されており、そのテーマには、プロバイダからの各種通知（アカウントの変更連絡、アカウントロックの警告、新サービスの提案等）が用いられ、メール本文中には偽のアカウント／パスワード入力ページへのリンクが記載。広く一般に拡散しているフィッシングメールと同じであるため、サイバー諜報活動かどうかの見極めが難しいケースであるが、攻撃に用いられたインフラの照合から、2020年11月に観測された北朝鮮内のイベントや脱北者をテーマに用いた不審ファイルを用いた攻撃と同じ攻撃グループによるものである可能性が高いと判断している。