マルウェアの痕跡が見つかるのはまれ トレンドマイクロが2021年の国内標的型攻撃を分析：自社資産の棚卸しやログの退避も重要

トレンドマイクロは「国内標的型攻撃分析レポート2022年版」を公開した。被害が発生している恐れが高い攻撃では、その多くがVPNなどのネットワーク機器や公開サーバの脆弱性が悪用されていた。

[＠IT]

　トレンドマイクロは2022年5月10日、「国内標的型攻撃分析レポート2022年版」を公開した。

国家が背景にある攻撃者グループが標的型攻撃を仕掛けている

　標的型攻撃は、重要情報の窃取などを目的として特定の法人組織に対象を絞って継続的に行われるサイバー攻撃。国家の後ろ盾のある攻撃者グループが中心になっているとされる。レポートによると2021年は「LODEINFO」「Earth Tengshe」「Earth Hundun」「Earth Kumiho」という4つの攻撃者グループによる標的型サイバー攻撃を年間を通して観測したという。

2021年に日本国内での活動を確認した標的型攻撃者グループ一覧（提供：トレンドマイクロ）

　こうした標的型攻撃についてトレンドマイクロは「VPN（Virtual Private Network）などのネットワーク機器や公開サーバの脆弱（ぜいじゃく）性を悪用して侵入している。こうしたネットワーク機器への侵入は、標的型メールによる攻撃よりも侵害の痕跡が残りづらく、事後の被害確認や侵害時期の特定が困難だ」と分析する。これらの脆弱性はランサムウェア攻撃など金銭目的のサイバー犯罪者も悪用しているため、初期の侵入方法だけから攻撃者やその属性を判別することは難しいという。

標的型攻撃の一般的な流れ（提供：トレンドマイクロ）

　侵入後の内部活動では多くの場合、初期の情報収集や認証窃取を狙う傾向があるとトレンドマイクロは分析している。マルウェアなど明らかに不正な痕跡が見つかる端末は少ないため、「マルウェアの検出対応やそれを基にした感染端末のみの調査では、被害の実態が一部しか把握できていない場合がある」とトレンドマイクロは注意を促している。

　こうした最近のサイバー攻撃から自社のセキュリティを確保するために、トレンドマイクロは次のように述べている。

　「自社が保有する情報資産と自社の誰が重要な情報に関わっているのかを棚卸し、ゼロトラストアーキテクチャにのっとった対策を採るべきだ。侵害痕跡調査に当たってはシステムやネットワーク機器のログが重要になるため長期にわたってログを残すよう設定した上で、ログを別の場所にもバックアップするなど、攻撃者に痕跡を削除されないための対策を講じる必要がある」