2015 年6 月に、公的機関への標的型攻撃による個人情報漏えい事案が大きく報道されました。あれから一年が経過しましたが、当時の報道の前も後も、今日に至るまで、日本国内の組織に対する標的型攻撃(サイバースパイ活動)は継続して観測されています。標的型攻撃の多くは、一般的なサイバー攻撃(無差別型攻撃)よりもステルス性が高いため、被害組織が攻撃者の侵入や潜伏に長期間気づかないことが多く、気づいた後も情報公開されないことが 多いため、報道される事案は氷山の一角に過ぎません。

そこでマクニカでは、一年前の事案を忘れずに教訓とし、自社のサイバーセキュリティ対策に活かしていただくために、このタイミングで分析レポートを公開することにしました。

本レポートでは、マクニカが2014~2015年に多く観測されたEmdiviと呼ばれるRAT(Remote Access Trojan)が用いられた攻撃キャンペーンを分析し、攻撃者が使う手法(TTPs = Tactics, Techniques, and Procedures)と、 標的型攻撃に従来からよく見られる TTPs、そして企業の成熟度に応じた対策の考え方を解説しています。

目次

1.エグゼクティブサマリー

2.標的型攻撃キャンペーンの実態調査 ~ Emdiviを使う攻撃グループ ~

  • 2.1 攻撃者の活動概要
  • 2.2 攻撃ベクター
  • 2.3 RAT
  • 2.4 おとりファイル
  • 2.5 C&C
  • 2.6 侵入拡大
  • 2.6.1 Windowsコマンド
  • 2.6.2 ツール
  • 2.6.2 攻撃者の素性

3.標的型攻撃におけるTTPs

  • 3.1 偵察
  • 3.2 武器化
  • 3.3 配送
  • 3.4 攻撃
  • 3.5 インストール
  • 3.6 C&C
  • 3.7 侵入拡大
  • 3.8 目的実行

4.対策の考え方

  • 4.1 はじめに
  • 4.2 多層防御の考え方 ~Cyber Kill Chain~
  • 4.3 侵入されることを前提とした対策の必要性
  • 4.4 止めないセキュリティ

Appendix

Emdivi RAT ハッシュ値

レポート「標的型攻撃の実態と対策アプローチ 第1版」のダウンロード

(10.1MB/38P)