弊社のSolarStormへの対応を読む
  • ネットワーク セキュリティ
  • クラウド セキュリティ
  • セキュリティ オペレーション
  • その他
  • サポートを受ける
  • スタート ガイド

パロアルトネットワークス、新しいマルウェアツールを利用した日本の製造/ハイテク業をターゲットとする標的型攻撃を確認

訃報などに模しマルウェアを侵入させる、
中国の犯罪集団からとみられる攻撃

4 15, 2015 at 06:00 午前

次世代ファイアウォールベンダーのパロアルトネットワークス合同会社(本社:東京都千代田区、以下パロアルトネットワークス)は、本社米Palo Alto Networksの脅威インテリジェンスチームUnit 42が日本の組織をターゲットとした標的型攻撃を確認したことを発表します。これは「DragonOK」とよばれるグループにより、2015年1月から3月にかけて日本の大手製造・ハイテク企業を対象に行われた攻撃であり、「FormerFirstRAT」と呼ばれる新しい標的型攻撃のためのバックドアツールを利用しています。

 

今回の攻撃はPalo Alto Networksの提供するサンドボックス型クラウドサービス「WildFire」とWildFireにより共有される脅威情報の検索、相関分析を実現するサイバー脅威インテリジェンスサービス「AutoFocus」(※AutoFocusは米国では試験提供中であり、一般提供並びに日本市場での提供は年内を予定しています)により発見されました。

攻撃を行った「DragonOK」は中国に拠点を持つとみられる犯罪者集団で、これまでも類似の攻撃を日本や台湾の製造業・ハイテク企業をターゲットに行っていました。今回の攻撃を含む「DragonOK」が行う標的型攻撃は、一見無害に見えるMicrosoft社のWordやExcelに形を模したEXEファイル(プログラムを実行するファイル)にマルウェアを仕込み、メールに添付して攻撃を行います。今回確認された攻撃では、訃報を知らせるメールに関連するドキュメント風のEXEファイルや、「XXX」とセルに入力されただけのExcel風のEXEファイルが送られる手法が取られました。ファイルを開いてしまうとマルウェアがダウンロードされ、システムのコントロールを奪い、キーロガー(キーボードの打ち込み履歴を記憶すること)、スクリーンキャプチャー、ファイルの盗難といった活動を行います。

 

■参考画像:攻撃で使用された添付ファイルの画像

今回の攻撃の新しい点は、NFlog、PoisonIvy、NewCT、PlugXといったこれまでに発見されているツールに加え、これまでグローバルでも確認されていない「FormerFirstRAT(Palo Alto Networksが命名)」という新しいツールが利用された点です。パロアルトネットワークスでは、日本企業への攻撃に特化した新しいツールが作成されたものと推測し、今後同様の攻撃が日本企業を対象に行われることを警告しています。

本攻撃の技術的詳細に関してはPalo Alto Networksのリサーチセンターブログをご参照ください。

※ Palo Alto Networks、Palo Alto Networksロゴ、WildFireは米国および世界各国におけるPalo Alto Networksの商標です。本書に記述されているその他すべての商標、商号、サービスマークは、各所有者に帰属します。

 

【Unit 42について】

Palo Alto Networksの脅威インテリジェンスチームであるUnit 42は、熟練したサイバーセキュリティ研究者や業界の専門家で構成されています。Unit 42は最新の脅威情報を収集・調査・分析し、パロアルトネットワークスの顧客やパートナー、さらに広範なコミュニティと組織を保護するための見識を共有しています。Unit 42は定期的に世界中の業界カンファレンスに参加しています。

【Palo Alto Networksについて】

Palo Alto Networks (NYSE: PANW) は、米国に本社を持ち、サイバー攻撃から数多くの企業、行政機関、プロバイダのネットワークを守るサイバーセキュリティのリーディングカンパニーです。当社の提供するセキュリティ・プラットフォームは、変化の激しい今日のIT業界で重要となるアプリケーションやユーザー、コンテンツを基にセキュリティの保護を行い、お客様のビジネス展開をサポートします。詳しくはhttp://www.paloaltonetworks.jpをご覧ください。

Palo Alto Networks、Palo Alto Networks ロゴは米国におけるPalo Alto Networksの商標です。
本書に記述されているその他すべての商標、商号、サービスマークは、各所有者に帰属します。


【お客様からのお問い合わせ先】
パロアルトネットワークス合同会社
Tel: 03-3511-4050
Email: infojapan@paloaltonetworks.com

【報道関係者からのお問い合わせ先】
パロアルトネットワークスPR事務局 株式会社アクティオ
Tel: 03-5771-6426
Email: paloalto-pr@actioinc.jp


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

明らかになりつつあるRarogマイニング トロイの木馬

ここ数か月の間、Unit 42は、「Rarog」と呼ばれるあまり知られていない暗号通貨マイニング トロイの木馬を調査してきました。 Rarogは、2017年6月以降さまざまな地下フォーラムで販売され、それ以来、無数の犯罪者によって使用されてきました。今日まで、パロアルトネットワークスは、161の異なるコマンド&コントロール(C2)サーバーに接続している、約2,500の独自のサンプルを観察しました。
Palo Alto Networks, April 4, 2018

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2021 Palo Alto Networks, Inc. All rights reserved.