2020年度 (2020年4月から2021年3月) に観測された、日本の組織から機密情報 (個人情報、政策関連情報、製造データなど) を窃取しようとする攻撃キャンペーンに関する分析内容を、注意喚起を目的として記載しています。ステルス性の高い遠隔操作マルウェア (RAT) を用いた事案を中心に、新しい攻撃手法やその脅威の検出について記載しています。

レポートの最後には、本文中で紹介した攻撃キャンペーンで使われたインディケータを掲載しています。

年間を通して、APT10のLODEINFOマルウェアを使った攻撃がメディア、シンクタンクを標的として行われたため、メディア、シンクタンクが標的に占める割合が大きくなっています。APT10のA41APT攻撃キャンペーンは、製造業の観測が多くありますが、ここに含まれていない政府、医療、衣料品といった業種にも注意を向けて頂ければと思います。医療や衣料品などの意外な業種もこのA41APT攻撃キャンペーンの標的である点について、現在のところ、攻撃者の標的動向に変化がある可能性と本当の標的に侵入するために侵入しやすい関連会社を狙った可能性があると分析しています。A41APT攻撃キャンペーンは、標的型攻撃の中でもかなり検出が困難な部類の攻撃と考えています。検出の難しい理由は、スピアフィッシュメールからの侵入はなく、マルウェアに感染した端末は国内企業の海外含む関連企業のサーバOSが大半で感染台数が少なく、C2サーバのIPアドレスは各感染ホストで異なります。そのため、国内企業の本社ネットワークと比べて対策が手薄な拠点への侵入というだけでなく、本書を含めたハッシュ値やIPアドレスといった静的なIOCでの検出が困難な事があげられます。ここに記載した業種では、できれば関連会社や海外含む各拠点で、本書の後半で記載する検出手法を参考に確認を行って頂ければと思います。

標的型攻撃については発見や検出が困難であり、侵入を検出するまでにも時間がかかる厄介な問題である事が再認識されます。本書の統計は氷山の一角ととらえ、ここで記載する攻撃手法も参考にして頂き、注意警戒を怠らないようにして頂ければと思います。