開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 2015/07/02

標的型攻撃による感染に気付いていない企業が多数存在、DNSシンクホール活用

プライスウォーターハウスクーパースは2日、サイバー攻撃の観測・分析活動を行っている同社の専門チーム「スレットリサーチラボ」が国内における複数の企業・組織を標的としたAPTグループの活動を観測したことを発表した。

 「スレットリサーチラボ」では、PwCのグローバルネットワークと連携し、APT攻撃で利用されていた複数の指令サーバをDNSシンクホールとして観測。その結果、特に2015年5月頃から「政府・官公庁、特定団体・機構、金融、航空、自動車、エネルギー企業」などの多数の国内組織からDNSシンクホールへ継続的な通信などを観測したという。

 スレットリサーチラボは、2015年5月から6月にかけて国内でさまざまな被害が発覚したが、それら以外にも水面下でAPTグループによる攻撃が行われている可能性があると指摘。対策を取っていない組織からのDNSシンクホールへのアクセス数が6月下旬よりさらに増加する結果となっており、これは、今なおマルウェアに感染していることを把握できていない日本国内の企業・組織が多数存在していることを示唆しているという。

photo
日本国内の企業・組織からのDNSシンクホールへのアクセス数
関連記事

 スレットリサーチラボは、今回の分析結果を基に、直接もしくは第三者機関を通じて被害組織へ情報提供を行った、としている。

 また、「スレットリサーチラボ」では一般的なDNSシンクホールによるDNSクエリの観測のみならず、当該ドメインへのHTTPリクエスト、攻撃に利用されたツールやマルウェアなども収集・分析し、攻撃グループのプロファイリングを実施。

 今回の攻撃パターンを分析したところ、中国の2つのAPTグループからの攻撃であることを確認し、同社ではこれらのグループを“Red Apollo”、“Red Wave”と命名した。観測したアクセスの約9割は“Red Apollo”からの攻撃であることも判明したという。

 DNSシンクホールとは、APTグループなどが攻撃の際に利用していたドメインを取得し、当該ドメインへのリクエストなどを観測する手法のこと。多くの場合、APTグループは標的組織にマルウェアなどを感染させ、当該マルウェアを制御するために海外の指令サーバ(C&Cサーバ)を利用する。APTグループが利用していたC&Cサーバなどのドメインを取得しDNSシンクホールとすることで、マルウェアのC&Cサーバなどへの通信を観測することができ、APT攻撃を把握することが可能になる。

photo
DNSシンクホールによる観測イメージ

関連記事

標的型攻撃 ジャンルのセミナー

標的型攻撃 ジャンルのトピックス

標的型攻撃 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!