新しい脅威の特徴

Webサイトを書き換えたり、システムの大規模な中断によって悪評を得ることで満足していた攻撃者が、今度はサイバー戦争によって大金を稼いだり、重要なデータを盗んだり、主要なインフラシステムを妨害したりできることに気付きました。

標的型攻撃は、標的とするネットワークへの永続的なアクセスを目的とした、人物または組織に対する長期のサイバースパイ活動です。この攻撃によって、企業の機密データを抽出したり、標的のネットワークに損害を与えることができます。感染したネットワークは、他の組織への攻撃に使用することもできます。この場合は元の攻撃者を追跡することが難しくなります。

スピアフィッシング攻撃

スピアフィッシング攻撃とは、フィッシング攻撃と標的型不正プログラムを組み合わせたものです。攻撃者は、上司や同僚など正規の送信者を装った巧妙なメールメッセージにより、少数の標的となる従業員にスピアフィッシングメッセージを送信します。このようなスピアフィッシングメッセージには、多くの場合、不正Webサイトへのリンクや不正な添付ファイルが含まれます。添付ファイルは、Microsoft Word、Excel、およびAdobe製品の脆弱性を悪用する場合があります。また添付ファイルは、実行可能ファイルを含む圧縮アーカイブである可能性もあります。受信者が添付ファイルを開くと、不正ソフトウェアがシステムの悪用を試みます。多くの場合、策略を実行するために、不正ソフトウェアは安全に見える無害なドキュメントを起動します。

いったん不正ソフトウェアが実行されると、システム上で休止状態となるか、またはコマンド&コントロール (C&C) サーバと通信してさらに指示を受信しようとします。

C&Cコールバック

次の処理は、通常不正ソフトウェアがインストールされ、C&Cサーバに通信が返されたときに実行されます。

  • 「ダウンローダ」と呼ばれるソフトウェアが、不正プログラムを自動的にダウンロードしてインストールします。

  • C&Cサーバを監視している人物 (攻撃者) が、処理を実行して接続に応答します。「リモートアクセス型トロイの木馬」 (RAT) と呼ばれるソフトウェアにより、攻撃者はシステムを調べたり、ファイルを抽出したり、感染したシステムで実行するための新しいファイルをダウンロードしたり、システムのビデオカメラやマイクを起動したり、画面キャプチャやキーストロークを取得したり、コマンドシェルを実行できるようになります。

攻撃者はさらに永続的なアクセスポイントを取得して、感染したネットワーク内を動き回ります。また、ネットワーク上にあるデータの収集のためにユーザのアカウント情報を盗もうとします。成功すると、収集されたデータはネットワークから別の環境に持ち出され、さらに調査されます。

この移動は、ゆっくりとしたペースで行われるため、検出されません。検出された場合は、一時的に活動を休止し、その後再開します。組織によってネットワークから排除された場合は、攻撃サイクルを最初からやり直します。