日本の組織狙う環境寄生型サイバー攻撃、JPCERT/CCが警戒呼びかけ
マイナビニュース / 2024年6月27日 8時28分
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月25日、「Operation Blotless攻撃キャンペーンに関する注意喚起」において、環境寄生型(LOTL: Living Off The Land)戦術を用いるサイバー攻撃キャンペーン「Operation Blotless」に対し、注意を喚起した。2023年から日本の組織を狙う攻撃活動がみられるという。
JPCERT/CCは中国の国家支援を受けていると見られる脅威グループ「Volt Typhoon」による同種の攻撃を例に、短期および中長期の対策を提示している。
○「Volt Typhoon」の特徴
Volt Typhoonは中国の敵となりうる国家に対し、将来その国のインフラに破壊的なサイバー攻撃を実施するための下準備として環境寄生型戦術を用いたサイバー攻撃を実施するとされる(参考:「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure | CISA」)。
そのため、長期間システムに潜伏することを優先し、認証情報の窃取以外の目立つ活動は原則しないという。Volt Typhoonは発見される可能性のあるマルウェアは用いず、環境に元から存在するソフトウェアを活用して認証情報の窃取を試みる。このような環境寄生型戦術は攻撃の痕跡(ログ)をほとんど残さないことから、検出は非常に難しいとされる。
○短期的な対策
JPCERT/CCは短期的な対策として、次に示すような侵害調査の実施を推奨している。
○ドメインコントローラ(DC)のログ調査
ドメインコントローラ(DC)に次のようなログが存在しないかどうか調査する。
Active Directoryデータベースファイルの持ち出し試行を確認する。具体的には「ntdsutil.exe」、「vssadmin.exe」の実行ログや、イベントID「8222」、「7036」、「216」の存在を確認する
イベントログの削除を試行したかを確認する。具体的にはイベントID「104」の存在を確認する
PowerShellの実行履歴に不審なものがないかを調査する
-
-
- 1
- 2
-
この記事に関連するニュース
-
中国の攻撃者がF5 BIG-IPアプライアンスを踏み台にスパイ活動
マイナビニュース / 2024年6月20日 7時27分
-
ユーザー自らマルウェアをインストール、偽の警告メッセージに注意
マイナビニュース / 2024年6月19日 8時26分
-
Windows狙うマルウェア、AndroidとmacOSまで標的広げて攻撃中
マイナビニュース / 2024年6月15日 18時18分
-
exeファイルをExcelファイルに見せかけてマルウェアを展開するサイバー攻撃に注意
マイナビニュース / 2024年5月31日 13時12分
-
北朝鮮の新しいサイバー攻撃者「Moonstone Sleet」とは?Microsoftが特定
マイナビニュース / 2024年5月31日 9時27分
ランキング
-
12億画素カメラと120W充電対応で6万円以下! さらに高コスパ化したシャオミ「Redmi Note 13 Pro+ 5G」
ASCII.jp / 2024年6月29日 12時0分
-
2別人級メイクの達人がすっぴんからパーティーメイクすると…… 驚きの大変貌に「めちゃめちゃビジュがいい!」「これはまさしく詐欺」
ねとらぼ / 2024年6月29日 19時30分
-
3オックスフォード大学ご訪問の天皇陛下、“ネクタイの柄”に注目集まる
ねとらぼ / 2024年6月29日 15時9分
-
4早く歩けよ!ゲーマーに嫌われがちなNPC護衛/尾行ミッション…海外ゲーマーの恨みが募る
Game*Spark / 2024年6月28日 12時30分
-
5華やかな“Copilot+ PC”売り場、でも「それ、Arm版Windowsですよね?」 “分かっている人があえて選ぶPC”が一般層に猛プッシュされている不安
ITmedia PC USER / 2024年6月26日 12時25分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)