2016年5月、トレンドマイクロは「国内標的型サイバー攻撃分析レポート 2016年版」を公開。これに合わせ5月10日に「2016年国内標的型サイバー攻撃分析セミナー」を開催した。登壇者は同社のセキュリティエバンジェリスト、岡本勝之氏である。
標的型攻撃、キーワードは「継続・隠蔽・変化」
まず、岡本氏は、標的型攻撃の概要を解説した。
標的型攻撃の攻撃手法は、まず企業内のLANに入る「侵入時攻撃」と、情報を窃取する「内部活動」に分類できる。岡本氏は、標的型攻撃のキーワードとして、継続・隠蔽・変化の3つをあげた。執拗な攻撃が気付かれない状態で長く続く、それが標的型攻撃の最大の特徴といえるだろう。今回のレポートでは、「変化」に注目したい。2015年の全体傾向は「状況と目的に応じて、攻撃を変化させる」こと。図4のような傾向をピックアップした。
捜査の手から逃げた? 日本でC&Cサーバが減少
図5は、イタリアのHacking Team社から漏えいした、Flash Playerの脆弱性情報に関連する出来事を時系列にまとめたものだ。
漏えいが発覚したのは2015年7月5日だが、後の調査では、4日前の7月1日時点でその脆弱性を悪用した水飲み場攻撃が確認された。5日後の10日以降では、漏えいした脆弱性CVE-2015-5119を含む複数の脆弱性を悪用した水飲み場攻撃が行われている。また、一般ユーザーを狙った攻撃が行われたのは7月28日である。岡本氏によれば、対応のスピードがまったく違う、臨機応変に攻撃者が対応している姿が窺えると指摘した。
また、2015年は日本に設置されたC&Cサーバが大きく減少した。
遠隔操作用サーバ設置国の割合が、日本は2015年1月~6月時点では全体の44%だったのに対し、同年7月~12月では約17ポイント減少した27%となっており、絶対数でも減少傾向が見られたという。
岡本氏は、これをさらに分析すると、2015年6月に発生した年金機構の大量の情報漏えい事件から、調査、分析が進み、当然対策も取られるようになった。このことを攻撃者がすばやく察知し、日本国内のC&Cサーバーを破棄する動きをとったと考察する。これも、状況の変化にすばやく対応しているといえるだろう。