日本をねらうサイバー攻撃集団、その手口と有効な対策とは

トレンドマイクロが公開した「国内標的型攻撃分析レポート2022年版」では、日本で活動する攻撃者グループの詳細が明らかになった。その手口と講じるべき対策とは。実際の標的型攻撃事例を基に解説する。

[鈴木恭子，キーマンズネット]

　トレンドマイクロは2022年5月10日、「国内標的型攻撃分析レポート2022年版」を公開した。同レポートは2021年に発生した国内を対象とする標的型攻撃を分析したものだ。同社のセキュリティエバンジェリストである岡本勝之氏は、「4つの標的型攻撃者グループによるサイバー攻撃を観測した。攻撃目的は、おおむね重要情報に関する情報窃取と推測できる」と説明する。

「標的型攻撃」と「サイバー犯罪」の違い

トレンドマイクロ セキュリティエバンジェリストの岡本勝之氏

　トレンドマイクロは標的型攻撃を「重要情報の窃取や破壊活動、情報操作などを目的とし、特定の法人組織や個人に対象を絞って継続的に実行されるサイバー攻撃」と定義する。その攻撃主体は組織化され、背景として国家からの支援が推測されるグループが中心だ。

　岡本氏は組織を狙う「標的型攻撃」と「サイバー犯罪」の違いについて、以下のように説明する。

　「サイバー犯罪の目的は金銭利益だが、標的型攻撃の目的は軍事や外交、先端技術などに関する情報の窃取や破壊活動、情報操作だ。攻撃対象も公的機関や先端技術を保有する組織およびその関連組織（サプライチェーン）、有識者など多岐にわたる」（同氏）

　岡本氏が注目しているのは、“初期侵入手法”の違いと変化だ。これまでサイバー攻撃ではマルウェアスパムやネットワーク機器の脆弱（ぜいじゃく）性攻撃・認証突破などが主流で、標的型攻撃では標的型メール、ネットワーク機器の脆弱性攻撃・認証突破などが大半を占めた。しかし、近年は両者の差がほとんどなくなっているという。

日本に"粘着"　4つの攻撃者グループの詳細と対応策は？

日本国内で活動を確認した主な標的型攻撃者グループ（出典：トレンドマイクロ講演資料）

　岡本氏は日本を狙う標的型攻撃者グループとして「LODEINFO」「Earth Tengshe」「Earth Hundun/BlackTech」「Earth Kumiho/Kimsuky」を挙げた。中でも特徴的なのが「LODEINFO」だ。岡本氏によると、LODEINFOは2019年から日本でのみ活動が観察されており、日本の政府関連組織や国際問題を取り扱う組織・有識者を対象にする。