標的型攻撃による感染に気付いていない企業が多数存在、DNSシンクホール活用

　「スレットリサーチラボ」では、PwCのグローバルネットワークと連携し、APT攻撃で利用されていた複数の指令サーバをDNSシンクホールとして観測。その結果、特に2015年5月頃から「政府・官公庁、特定団体・機構、金融、航空、自動車、エネルギー企業」などの多数の国内組織からDNSシンクホールへ継続的な通信などを観測したという。

　スレットリサーチラボは、2015年5月から6月にかけて国内でさまざまな被害が発覚したが、それら以外にも水面下でAPTグループによる攻撃が行われている可能性があると指摘。対策を取っていない組織からのDNSシンクホールへのアクセス数が6月下旬よりさらに増加する結果となっており、これは、今なおマルウェアに感染していることを把握できていない日本国内の企業・組織が多数存在していることを示唆しているという。


　スレットリサーチラボは、今回の分析結果を基に、直接もしくは第三者機関を通じて被害組織へ情報提供を行った、としている。

　また、「スレットリサーチラボ」では一般的なDNSシンクホールによるDNSクエリの観測のみならず、当該ドメインへのHTTPリクエスト、攻撃に利用されたツールやマルウェアなども収集・分析し、攻撃グループのプロファイリングを実施。

　今回の攻撃パターンを分析したところ、中国の2つのAPTグループからの攻撃であることを確認し、同社ではこれらのグループを“Red Apollo”、“Red Wave”と命名した。観測したアクセスの約9割は“Red Apollo”からの攻撃であることも判明したという。

　DNSシンクホールとは、APTグループなどが攻撃の際に利用していたドメインを取得し、当該ドメインへのリクエストなどを観測する手法のこと。多くの場合、APTグループは標的組織にマルウェアなどを感染させ、当該マルウェアを制御するために海外の指令サーバ（C&Cサーバ）を利用する。APTグループが利用していたC&Cサーバなどのドメインを取得しDNSシンクホールとすることで、マルウェアのC&Cサーバなどへの通信を観測することができ、APT攻撃を把握することが可能になる。