サイバー攻撃者は不正接続先マシンを攻撃インフラとして使い回す

自動車テクノロジーネット

2017.1.27 Fri 13:45

独立行政法人情報処理推進機構（IPA）は1月26日、2016年10月～12月の四半期における「サイバー情報共有イニシアティブ（J-CSIP）運用状況」を公開した。同四半期、J-CSIP参加組織（7つのSIG、全87参加組織）からIPAに対し、標的型攻撃メールと思われる不審なメール等の情報提供が396件（前四半期は218件）行われ、その情報をもとにIPAからJ-CSIP参加組織へ22件（同32件）の情報共有が実施された。

同四半期の標的型攻撃メールの特徴では、WindowsShellによるスクリプトが埋め込まれたショートカット（lnk）ファイルを圧縮ファイルに格納した攻撃が複数確認された。また、ファイルの不正接続先は複数確認された標的型攻撃メールと同一であったが、アクセスするタイミングによってダウンロードされるウイルスが変化したという。

このことから、攻撃者は不正接続先であるマシンを「攻撃インフラ」として使い回し、標的などによりウイルスを使い分けているとみている。また、不正な「コード署名」が行われたウイルスや、1通のメールにExcel文書とPDF文書の2つのファイルが添付され、どちらを開いてもウイルスに感染するケースも確認された。

同四半期、標的型攻撃メールとみなした情報は19件であった。IPアドレスから判断される送信元はアメリカが42％で、韓国、日本と続いた。不正接続先は香港が48％で、アメリカ、韓国と続いている。メールの種別では95％が「添付ファイル」、添付ファイル種別では81％が「実行ファイル」であった。これらの約半数は、zip形式の圧縮ファイルの中に実行ファイル（exeファイル）が格納されていた。

攻撃者は不正接続先マシンを攻撃インフラとして使い回す--J-CSIPレポート（IPA）

《吉澤亨史》