役立つ製品・サービス情報<PR>

2013年05月16日

日本企業はいつサイバー攻撃を受けてもおかしくない状況にある

忍び寄るサイバー攻撃から日本企業の情報資産を守れ!─前編─

日本企業はいつサイバー攻撃を受けてもおかしくない状況にある

 

【今、知っておくべき危機 第5回】

忍び寄るサイバー攻撃から日本企業の情報資産を守れ!─前編─

日本企業はいつサイバー攻撃を受けてもおかしくない状況にある
■【今、知っておくべき危機 第5回】忍び寄るサイバー攻撃から日本企業の情報資産を守れ!─前編─
お隣の韓国で発生した大規模なサイバー攻撃を忘れていないだろうか?当然我々が被害に遭う可能性も十分にあり、決して他人ごとではない。2013年になってからも、日本国内での企業や政府機関への攻撃があったとされ、海外においても、大手IT企業や有名ニュースメディアサイトへの攻撃が報道されている。
大手セキュリティ会社のトレンドマイクロでは、今回発生した韓国の大規模サイバー攻撃について、以下のように攻撃が進んでいったとレポートしている。この考察は、あくまでもトレンドマイクロが独自に収集した情報に基づく推測であり、今後さらに明らかになる事実もあるだろうが、日本企業はいつサイバー攻撃を受けてもおかしくない状況にある今、多くのセキュリティ担当者は目を通しておくべき情報なのは間違いない。
今回の大規模なサイバー攻撃の発端は、ターゲットを絞ったスパムメールであったと思われる。クレジットカード会社を騙ったメールには、利用明細を装ったPDFファイルが添付されており、これが攻撃の発端となったようだ。このファイルを開くとダウンローダ TRJ_DLDR.HB に感染し、さらに別の不正プログラムをダウンロードする。
銀行や放送局の多くのコンピュータシステムを再起動不能に陥らせたのは、マスターブートレコード(Master Boot Record/MBR) を上書きすることで、通常の再起動をできなくする複数の不正プログラムと推測される。今回被害を大規模にしたのは、これらの不正プログラムが多くのPCやUNIXシステムに配布されてしまったことにある。そのために利用されたのが、プログラムの配信などを行う集中管理ツールサーバだった。
攻撃者は、何らかの方法で集中管理ツールサーバに「TROJ_KILLMBR.SM」を送り、そこから多数のPCへ配布を行った。「TROJ_KILLMBR.SM」は、PC上の全ファイルを削除した上、MBR をゴミデータで上書きし、復旧を困難にしたと思われる。
さらに、侵入したPCにUNIX系サーバへアクセスするためのID/パスワードが格納されていた場合、不正プログラム「UNIX_KILLMBR.A」を送信。侵入したPCから取得したID/パスワード情報を組み合わせ、「TROJ_KILLMBR.SM」よりドロップされた正規のSSHクライアントによって「UNIX_KILLMBR.A」を実行するコマンドが発行される。同不正プログラムは、環境毎に異なる動きをする。AIX、Solaris、HP-UX を見つけると MBR情報をゴミデータで上書きし、また Linux, Solaris の場合、重要なディレクトリを削除。いずれもその作用はUNIXシステムの起動を困難にするものであった。
このように、偽装メールと添付ファイルで第一次感染を引き起こすのがサイバー攻撃でよく使われる手法だといわれている。そして、第一次感染では大きな被害を生まないが、次々と不正ファイルをダウンロードすることで攻撃を「深化」させていく。厄介な事に、この「深化」のプロセスが気付きにくいということも、昨今のサイバー攻撃の大きな特徴の一つだ。
今回の推測を発表したトレンドマイクロでは、継続してサイバー攻撃の「巧妙化」への注意を呼びかけている。とは言え気付きにくいサイバー攻撃に対し、どう対応して良いか具体的なアイデアを持っているセキュリティ担当者は、そう多くは無いのではないだろうか。
次回『忍び寄るサイバー攻撃から日本企業の情報資産を守れ! ─後編─』では、実際にどのような「症状=兆候」がサイバー攻撃となりうるのかをテーマに、想定される事態をストーリー仕立てで紹介する予定だ。
韓国サイバー攻撃関連の調査
韓国への大規模サイバー攻撃、マスターブートレコードを復旧困難にさせる攻撃などを確認
http://blog.trendmicro.co.jp/archives/6911?cm_mmc=Ent-_-Sakaami_8-_-Pronweb-_-001
マスターブートレコードを破壊する韓国企業へのサイバー攻撃、その全体像と教訓とは?
http://blog.trendmicro.co.jp/archives/6923?cm_mmc=Ent-_-Sakaami_8-_-Pronweb-_-002
あなたは、この内容でも騙されない自信がありますか?
(1) 高度に巧妙化した「メール」を起点としたサイバー攻撃の例
http://blog.trendmicro.co.jp/archives/6748?cm_mmc=Ent-_-Sakaami_8-_-Pronweb-_-003
あなたは、この内容でも騙されない自信がありますか?
(2)標的型攻撃への対策について興味を持ち、その詳細を知るためにファイルを開けてしまったユーザが、被害者の一人となった例
http://blog.trendmicro.co.jp/archives/6762?cm_mmc=Ent-_-Sakaami_8-_-Pronweb-_-004
その他トレンドマイクロの調査データ多数
http://inet.trendmicro.co.jp/doc_dl/select.asp?type=2&cid=38&cm_mmc=Ent-_-Sakaami_8-_-Pronweb-_-005
トレンドマイクロ株式会社
http://jp.trendmicro.com/jp/home/enterprise/index.html?cm_mmc=Ent-_-Sakaami_8-_-Pronweb-_-006
公式リリースを読む
http://www.pronweb.tv/release.php?code=8094

 

130516_tm_01.jpg

お隣の韓国で発生した大規模なサイバー攻撃を忘れていないだろうか?当然我々が被害に遭う可能性も十分にあり、決して他人ごとではない。2013年になってからも、日本国内での企業や政府機関への攻撃があったとされ、海外においても、大手IT企業や有名ニュースメディアサイトへの攻撃が報道されている。


大手セキュリティ会社のトレンドマイクロでは、今回発生した韓国の大規模サイバー攻撃について、以下のように攻撃が進んでいったとレポートしている。この考察は、あくまでもトレンドマイクロが独自に収集した情報に基づく推測であり、今後さらに明らかになる事実もあるだろうが、日本企業はいつサイバー攻撃を受けてもおかしくない状況にある今、多くのセキュリティ担当者は目を通しておくべき情報なのは間違いない。


今回の大規模なサイバー攻撃の発端は、ターゲットを絞ったスパムメールであったと思われる。クレジットカード会社を騙ったメールには、利用明細を装ったPDFファイルが添付されており、これが攻撃の発端となったようだ。このファイルを開くとダウンローダ TRJ_DLDR.HB に感染し、さらに別の不正プログラムをダウンロードする。


銀行や放送局の多くのコンピュータシステムを再起動不能に陥らせたのは、マスターブートレコード(Master Boot Record/MBR) を上書きすることで、通常の再起動をできなくする複数の不正プログラムと推測される。今回被害を大規模にしたのは、これらの不正プログラムが多くのPCやUNIXシステムに配布されてしまったことにある。そのために利用されたのが、プログラムの配信などを行う集中管理ツールサーバだった。


攻撃者は、何らかの方法で集中管理ツールサーバに「TROJ_KILLMBR.SM」を送り、そこから多数のPCへ配布を行った。「TROJ_KILLMBR.SM」は、PC上の全ファイルを削除した上、MBR をゴミデータで上書きし、復旧を困難にしたと思われる。


さらに、侵入したPCにUNIX系サーバへアクセスするためのID/パスワードが格納されていた場合、不正プログラム「UNIX_KILLMBR.A」を送信。侵入したPCから取得したID/パスワード情報を組み合わせ、「TROJ_KILLMBR.SM」よりドロップされた正規のSSHクライアントによって「UNIX_KILLMBR.A」を実行するコマンドが発行される。同不正プログラムは、環境毎に異なる動きをする。AIX、Solaris、HP-UX を見つけると MBR情報をゴミデータで上書きし、また Linux, Solaris の場合、重要なディレクトリを削除。いずれもその作用はUNIXシステムの起動を困難にするものであった。


このように、偽装メールと添付ファイルで第一次感染を引き起こすのがサイバー攻撃でよく使われる手法だといわれている。そして、第一次感染では大きな被害を生まないが、次々と不正ファイルをダウンロードすることで攻撃を「深化」させていく。厄介な事に、この「深化」のプロセスが気付きにくいということも、昨今のサイバー攻撃の大きな特徴の一つだ。


今回の推測を発表したトレンドマイクロでは、継続してサイバー攻撃の「巧妙化」への注意を呼びかけている。とは言え気付きにくいサイバー攻撃に対し、どう対応して良いか具体的なアイデアを持っているセキュリティ担当者は、そう多くは無いのではないだろうか。


次回『忍び寄るサイバー攻撃から日本企業の情報資産を守れ! ─後編─』では、実際にどのような「症状=兆候」がサイバー攻撃となりうるのかをテーマに、想定される事態をストーリー仕立てで紹介する予定だ。



韓国サイバー攻撃関連の調査

韓国への大規模サイバー攻撃、マスターブートレコードを復旧困難にさせる攻撃などを確認

http://blog.trendmicro.co.jp/archives/6911?cm_mmc=Ent-_-Sakaami_8-_-Pronweb-_-001


マスターブートレコードを破壊する韓国企業へのサイバー攻撃、その全体像と教訓とは?

http://blog.trendmicro.co.jp/archives/6923?cm_mmc=Ent-_-Sakaami_8-_-Pronweb-_-002


あなたは、この内容でも騙されない自信がありますか?

(1) 高度に巧妙化した「メール」を起点としたサイバー攻撃の例

http://blog.trendmicro.co.jp/archives/6748?cm_mmc=Ent-_-Sakaami_8-_-Pronweb-_-003


あなたは、この内容でも騙されない自信がありますか?

(2)標的型攻撃への対策について興味を持ち、その詳細を知るためにファイルを開けてしまったユーザが、被害者の一人となった例

http://blog.trendmicro.co.jp/archives/6762?cm_mmc=Ent-_-Sakaami_8-_-Pronweb-_-004


その他トレンドマイクロの調査データ多数

http://inet.trendmicro.co.jp/doc_dl/select.asp?type=2&cid=38&cm_mmc=Ent-_-Sakaami_8-_-Pronweb-_-005


トレンドマイクロ株式会社

http://jp.trendmicro.com/jp/home/enterprise/index.html?cm_mmc=Ent-_-Sakaami_8-_-Pronweb-_-006


公式リリースを読む

http://www.pronweb.tv/release.php?code=8094

 

 

 

PAGE TOP