竹内寛氏

2020年1月から2月にかけて、国内企業を標的として行われたサイバー攻撃事案が複数報道されました。これらは日本におけるサイバーエスピオナージの氷山の一角でしかなく、実際には防衛関連だけではなく他業種へも積極的な活動が行われています。 活動目的は、知的財産・研究成果の窃取や外交関連の情報収集、最終標的に潜入するための足場固めと考えています。 また、最近はセキュリティ対策が甘い海外関連会社や脆弱性を持つインターネットからアクセス可能な機器を調査・標的とし、そこから侵入する傾向が見られています。 鎖の強度が一番弱い輪(link)に依存するように、組織全体のセキュリティ強度も弱い箇所(海外、脆弱性のあるインターネット機器等)に依存し、攻撃者がそこを狙う傾向を“Targeting weakest link”という表現で示しています。 本セッションでは、先日公開したTeamT5との共同調査レポート「標的型攻撃の実態と対策アプローチ」の内容をベースにその実態を解説します。国内で活動を行う攻撃者グループの4つの特徴(Actor, Capability, Victim, Infrastructure)の分析結果とその対策について共有します。

APT10は世界各国の企業を標的とした諜報活動を行っているといわれるグループです。2018年12月に米司法省はAPT10のメンバーとされる人物を起訴し、外務省は外務報道官談話でそのサイバー攻撃を非難しました。それ以降APT10の活動は観測されていませんでしたが、2020年に入りAPT10との関連があるとされるA41APTやマルウェアLDOEINFOを使う攻撃キャンペーンが観測されました。本セッションでは初めに2017~2018年に国内で観測されたAPT10の活動と手口について振り返りをした後に、2020年のキャンペーンで使われた攻撃ツールの詳細な分析を共有し過去使われたツールとの関連・変化について考察します。最後に分析から得た情報のインシデント対応への活用アプローチについて共有します。

侵入型ランサムを代表とするサイバー攻撃は活発に行われており、短期間では影響が表面化しない標的型攻撃も含め、重要インフラや多くの企業が被害を受けているのが現状です。そうした中でサイバー攻撃が高度化・巧妙化と形容されているのを多く目にしますが、実際にそうなのでしょうか？本セッションでは2021年に観測した標的型攻撃やサイバークライムで使われたマルウェアの解析アプローチや解析から得た情報を重点的に解説します。また、それを基に１アナリストの観点から攻撃者のTTPsを再考した結果について共有します。本セッションが攻撃の実態把握の参考となり、現場の方の分析や対策検討に役立つことを目指します。

今年9月に警察庁及び内閣サイバーセキュリティセンター（NISC）は、米国家安全保障局（NSA）、米連邦捜査局（FBI）及び米国土安全保障省サイバーセキュリティ・インフラ庁（CISA）とともに、サイバー攻撃グループ「BlackTech」（ブラックテック）によるサイバー攻撃に関する合同の注意喚起を発出しました。 BlackTechを始めとした標的型攻撃(サイバーエスピオナージ)は長期間潜伏し企業が保有する機密情報や個人情報を窃取することが主な目的であることから、目に見える形で短期間で影響が顕在化するランサムウェアよりも公開情報が少なく企業がその実態について把握することが難しいのが現状です。 本セッションでは、最初に標的型攻撃とランサムウェアのようなサイバークライムの違いについて説明します。その後に、2022年度に弊社が分析した標的型攻撃の振り返りと今年観測した最近の標的型攻撃キャンペーンについて解説します。最後に分析を通して得た手口の変化と対策、ガバナンス、資産管理の重要性について考察します。