検索
ニュース

「小規模企業」「現場スタッフ」が標的に――シマンテック正規Webサイトの改ざんが悪用されるケースが多数

シマンテックは4月23日、2013年版「インターネットセキュリティ脅威レポート」(第18号)を公開した。2012年は標的型攻撃、それも現場レベルの人をターゲットにした標的型攻撃が増加したという。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 シマンテックは4月23日、2013年版「インターネットセキュリティ脅威レポート」(第18号)を公開した。2012年は特定の組織や個人をターゲットにする「標的型攻撃」が増加しており、しかも「知的財産を直接扱っている現場レベルの人がターゲットになっている」(同社 セキュリティレスポンス シニアマネージャ 浜田穣治氏)ことが顕著という。

 このレポートは、同社が世界中で検出した6900万件以上の攻撃情報を基にまとめられている。それによると、1日当たりの標的型攻撃の件数は平均116件で、前年よりも41%増加した。特に、従業員数が250名未満の中堅・中小企業への攻撃が増加し、前年の3倍に達しているという。


シマンテック セキュリティレスポンス シニアマネージャ 浜田穣治氏

 その背景について浜田氏は、「セキュリティ対策を施している大規模企業に比べ、小規模企業は攻撃しやすい。また、小規模企業も下請けとしてさまざまなプロジェクトに参加し、さまざまな知的財産を保有している。そこが狙われている」と述べた。職務権限別に見た場合でも、取締役などの経営層よりも、「研究開発」「営業」など、手元のPCでさまざまな知的財産を扱っている現場のスタッフが狙われる比率が高かった。

 なお、標的型攻撃の手法にも変化が見られる。これまでは、特定の人物宛に、シチュエーションまで作り込んだメールを送り付けて悪意あるサイトに誘導する「スピアフィッシング」が主流だった。しかしその成功率が下がってきたことを受けて、2012年には、特定の興味・関心を持つユーザーが頻繁にアクセスするWebサイトを改ざんし、被害者を待ち受ける手法が登場した。

 こうした手法は「水飲み場攻撃(Watering Hole)」と呼ばれている。Webサイトの改ざんという技術的な部分は過去の攻撃と共通だが、標的となる特定のグループがよくアクセスするWebサイトに侵入し、ページを改ざんすることで、非常に「効率よく」、多数の被害者に影響を与える点が特徴という。

 2012年に「Elderwood」というグループが行った攻撃では、政府関係者がアクセスする機会の多いNGOのサイトが改ざんされた。ゼロデイ脆弱性を悪用したこともあり、24時間以内に500社が感染したという。2013年2月に、iOSアプリ開発者向けのフォーラムサイト「iPhoneDevSDK」が改ざんされ、Javaの脆弱性を突いてマルウェアに感染させたケースもその一例だ。

 浜田氏はまた、正規のWebサイトが改ざんされ、悪用されるケースが目立つとも指摘している。攻撃を仕掛ける悪質なWebサイトのうち、正規のWebサイトが占める割合は実に61%に達した。「ユーザーがこうしたサイトを怪しむことはない。結果として脆弱性を悪用されてマルウェアに感染してしまう」(同氏)。正規Webサイトの改ざんは、前述の水飲み場攻撃だけでなく、偽セキュリティソフトのダウンロードや、PCを乗っ取って金銭を脅し取る「ランサムウェア」の配布などにも悪用されると見られ、注意が必要という。

 このレポートではほかにも、Androidをターゲットにするマルウェアが増加し、中でも情報の窃盗を試みるマルウェアが32%に達していることも明らかになった。「日本では電話帳のデータを盗み取るケースがメインだが、欧州では金融関連など、PC上に存在するのと同じ種類のデータが狙われている」(浜田氏)という。

 同レポートの日本語版は5月下旬に公開される予定だ。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
  6. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  7. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  8. 「Amazonプライム感謝祭」に関するフィッシング攻撃を確認、注意すべき7つのポイントとは チェック・ポイント・ソフトウェア・テクノロジーズ
  9. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  10. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
ページトップに戻る