日本の組織狙う環境寄生型サイバー攻撃、JPCERT/CCが警戒呼びかけ
マイナビニュース / 2024年6月27日 8時28分
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月25日、「Operation Blotless攻撃キャンペーンに関する注意喚起」において、環境寄生型(LOTL: Living Off The Land)戦術を用いるサイバー攻撃キャンペーン「Operation Blotless」に対し、注意を喚起した。2023年から日本の組織を狙う攻撃活動がみられるという。
JPCERT/CCは中国の国家支援を受けていると見られる脅威グループ「Volt Typhoon」による同種の攻撃を例に、短期および中長期の対策を提示している。
○「Volt Typhoon」の特徴
Volt Typhoonは中国の敵となりうる国家に対し、将来その国のインフラに破壊的なサイバー攻撃を実施するための下準備として環境寄生型戦術を用いたサイバー攻撃を実施するとされる(参考:「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure | CISA」)。
そのため、長期間システムに潜伏することを優先し、認証情報の窃取以外の目立つ活動は原則しないという。Volt Typhoonは発見される可能性のあるマルウェアは用いず、環境に元から存在するソフトウェアを活用して認証情報の窃取を試みる。このような環境寄生型戦術は攻撃の痕跡(ログ)をほとんど残さないことから、検出は非常に難しいとされる。
○短期的な対策
JPCERT/CCは短期的な対策として、次に示すような侵害調査の実施を推奨している。
○ドメインコントローラ(DC)のログ調査
ドメインコントローラ(DC)に次のようなログが存在しないかどうか調査する。
Active Directoryデータベースファイルの持ち出し試行を確認する。具体的には「ntdsutil.exe」、「vssadmin.exe」の実行ログや、イベントID「8222」、「7036」、「216」の存在を確認する
イベントログの削除を試行したかを確認する。具体的にはイベントID「104」の存在を確認する
PowerShellの実行履歴に不審なものがないかを調査する
-
-
- 1
- 2
-
この記事に関連するニュース
-
中国の攻撃者がF5 BIG-IPアプライアンスを踏み台にスパイ活動
マイナビニュース / 2024年6月20日 7時27分
-
ユーザー自らマルウェアをインストール、偽の警告メッセージに注意
マイナビニュース / 2024年6月19日 8時26分
-
人材紹介会社を装いマルウェアを配布するサイバー攻撃に注意
マイナビニュース / 2024年6月18日 11時31分
-
Windows狙うマルウェア、AndroidとmacOSまで標的広げて攻撃中
マイナビニュース / 2024年6月15日 18時18分
-
Excelを悪用してマルウェアを展開するウクライナを狙うサイバー攻撃特定
マイナビニュース / 2024年6月7日 10時25分
ランキング
-
1柴犬が必死でくわえようとするのはまさかの“一生無理”なヤツ 子どものような戦いに「激可愛すぎて永遠にリピート」
ねとらぼ / 2024年6月30日 7時0分
-
2様子見していたあのゲーム、今こそ買い時かも!特選Steamサマーセール「過去最安」編【Steamサマーセール2024年夏】
Game*Spark / 2024年6月30日 16時0分
-
3Windows 11、更新プログラム(KB5039302)により繰り返し再起動する問題発生
マイナビニュース / 2024年6月30日 17時16分
-
4なんだこれ……! “近未来すぎる砂時計”が話題に 「こういうのたまらん」
ねとらぼ / 2024年6月30日 12時0分
-
5「呪う気か」 ハードオフでジャンク品を発見→“まさかの販売風景”に恐怖 「買う猛者がいるのだろうか」
ねとらぼ / 2024年6月30日 9時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)