JPCERT/CC「インシデント報告対応レポート」公開、確認された標的型攻撃を紹介

　一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は7月14日、2022年4月1日から6月30日までの四半期における「インシデント報告対応レポート」を公開した。

　同レポートによると、同四半期にJPCERT/CCに寄せられたインシデント報告件数は16,714件で、前四半期（16,188件）から微増している。

　同四半期のインシデントの内訳は「フィッシングサイト」が71.8％、「スキャン」が13.9％となった。フィッシングサイトの報告件数は8,088件で、前四半期の6,820件から18.6％の増加に、前年度同期（4,841件）からは67％の増加となっている。内訳では、国内のブランドを装ったフィッシングサイトの件数は5,523件で前四半期の4,196件から32％増加、国外のブランドを装ったフィッシングサイトの件数は1,931件となり、前四半期の2,043件から5％減少している。

　標的型攻撃に分類されるインシデントの件数は2件で、確認されたインシデントは下記の通り。

1.不正なショートカットファイルまたは ISO ファイルをダウンロードさせる攻撃

　メール本文中のリンクを開かせて、不正なショートカットファイルが格納された ZIP ファイル、または ISO ファイルをダウンロードさせようとする標的型攻撃を確認している。

　不正なショートカットファイルは、Word 文書のテンプレートファイルをダウンロードし、Microsoft Word のスタートアップフォルダに保存される。ダウンロードされたテンプレートファイルには、外部から新たにファイルをダウンロードするマクロが含まれ、次回以降 Word ファイルを開く際に動作する仕組みとなっていた。

　ISO ファイルには、正規の Microsoft Word アプリケーションと不正な DLL ファイルが含まれ、この Microsoft Word を起動すると、DLL サイドローディングにより不正な DLL ファイルが読み込まれ、不審な通信が発生する挙動が確認されている。

2.BIG-IP の脆弱性（CVE-2022-1388）を利用した攻撃

　BIG-IP の脆弱性によって、デバイス上に Web シェルを設置されたり、コンテンツを窃取されたりする事例を複数確認している。