【本記事はあらた監査法人様からのプレスリリースです】
プライスウォーターハウスクーパース株式会社
DNSシンクホールを用いて、APTグループの活動を観測
プライスウォーターハウスクーパース株式会社(本社:東京都中央区、代表取締役社長:椎名 茂)は、7月2日、サイバー攻撃の観測・分析活動を行っている当社の専門チーム「スレットリサーチラボ」が国内における複数の企業・組織を標的としたAPT(*1)グループの活動を観測したことを発表します。
進化を続け複雑化の一途をたどる昨今のサイバー攻撃は、以前のように単独の愉快犯などによる攻撃から、金銭目的や情報収集といった組織立った攻撃へと変貌し、国内外を問わず大きな問題となっています。特にAPTグループによる標的型攻撃は、多層防御技術などのプロアクティブな検知技術では対応することが困難な手法を用いることで標的組織に潜伏し、被害組織は攻撃を受けていることすら把握できない状況が続いています。
「スレットリサーチラボ」では、世界最大級のプロフェッショナルサービスネットワークであるPwCのグローバルネットワークと連携し、APT攻撃で利用されていた複数の指令サーバ(*2)をDNSシンクホール(*3)として観測しています。観測の結果、特に2015年5月頃から「政府・官公庁、特定団体・機構、金融、航空、自動車、エネルギー企業」などの多数の国内組織からDNSシンクホールへ継続的な通信などを観測しました【図1】。
2015年5月から6月にかけて国内でさまざまな被害が発覚しましたが、それら以外にも水面下でAPTグループによる攻撃が行われている可能性が【図1】の結果よりわかります。対策を取っていない組織からのDNSシンクホールへのアクセス数が6月下旬よりさらに増加する結果となっており、これは、今なおマルウェアに感染していることを把握できていない日本国内の企業・組織が多数存在していることを示唆しています。当ラボは、今回の分析結果を基に、直接もしくは第三者機関を通じて被害組織へ情報提供を行いました。
【図1】日本国内の企業・組織からのDNSシンクホールへのアクセス数
また、「スレットリサーチラボ」では一般的なDNSシンクホールによるDNSクエリの観測のみならず、当該ドメインへのHTTPリクエスト、攻撃に利用されたツールやマルウェアなども収集・分析し、攻撃グループのプロファイリングを実施しています。この度の攻撃パターンを分析したところ、中国の2つのAPTグループからの攻撃であることを確認し、当社ではこれらのグループを“Red Apollo”、“Red Wave”と命名しました。観測したアクセスの約9割は“Red Apollo”からの攻撃であることも判明しました。
今後も当ラボはAPT攻撃を観測し、分析結果に基づく注意喚起や研究結果の公表を行い、必要な場合に応じて被害組織へ情報提供を行っていきます。
*1 APT(Advanced Persistent Threat)
APTはサイバー攻撃の一種であり、特定の組織に対して持続的に攻撃や潜伏活動を行い、さまざまな手法を駆使して執拗なスパイ行為や妨害行為などを行うタイプの攻撃の総称です。また、こうした攻撃を行う集団をAPTグループと言います。
*2 指令サーバ(C&Cサーバ:Command and Control Server)
攻撃者がマルウェアをリモートで制御するために用いるサーバを指します。攻撃者は当該サーバに指示を出すことで、標的組織内のPCに感染させたマルウェアへ指示を下し、さまざまな活動を行います。
*3 DNSシンクホール
DNSシンクホールとは、APTグループなどが攻撃の際に利用していたドメインを取得し、当該ドメインへのリクエストなどを観測する手法です【図2】。多くの場合、APTグループは標的組織にマルウェアなどを感染させ、当該マルウェアを制御するために海外の指令サーバ(C&Cサーバ)を利用します。APTグループが利用していたC&Cサーバなどのドメインを取得しDNSシンクホールとすることで、マルウェアのC&Cサーバなどへの通信を観測することができ、APT攻撃を把握することが可能です。
【図2】DNSシンクホールによる観測イメージ
以上
- プライスウォーターハウスクーパース株式会社について
- プライスウォーターハウスクーパース株式会社は、ディールアドバイザリーとコンサルティングを提供する国内最大規模のコンサルティングファームです。M&Aや事業再生・再編の専門家であるディールアドバイザリー部門と経営戦略の策定から実行まで総合的に取り組むコンサルティング部門が連携し、クライアントにとって最適なソリューションを提供しています。
世界157カ国、195,000人以上のスタッフを有するPwC(PricewaterhouseCoopers)のネットワークを生かし、国内約1,500名のプロフェッショナルが企業の経営課題の解決を支援しています。 - PwCについて
- PwCは、世界157カ国に及ぶグローバルネットワークに195,000人以上のスタッフを有し、高品質な監査、税務、アドバイザリーサービスの提供を通じて、企業・団体や個人の価値創造を支援しています。詳細はwww.pwc.comをご覧ください。
-
報道関係者からのお問い合わせ
- プライスウォーターハウスクーパース株式会社
- 広報担当 髙橋、渡辺
- Tel:03-3546-8480(代表)
-
お客様からのお問い合わせ
- プライスウォーターハウスクーパース株式会社
コンサルティング部門 スレットリサーチラボ 星澤
Tel:03-3546-8480(代表)
メールでのお問い合わせ
引用元:プライスウォーターハウスクーパース、国内の政府・官公庁、特定団体・機構、金融、航空、自動車、エネルギー企業への標的型攻撃を注意喚起
