二つの標的型攻撃グループの2023年における動向をトレンドマイクロが発表

　トレンドマイクロは5月28日に、2023年における国内の標的型攻撃の傾向をまとめた「国内標的型攻撃分析レポート2024年版」を発表した。本レポートによると、2023年は標的型攻撃グループ「Earth Kasha」「Earth Harpy」が攻撃の主体となっていた。

　Earth Kashaは、2022年まで日本の国際関係・防衛・経済安全保障分野の有識者個人を標的にしていた標的型攻撃グループだ。しかし2023年以降は日本に加え、台湾やインドにまで攻撃対象を広げ、先端技術を持つ企業・組織を標的に変更した。同社 セキュリティエバンジェリスト 岡本勝之氏は、標的変更の背景をこう語る。「Earth Kashaは、中国が関与するとみられるサイバー攻撃グループ『APT10』と関係が指摘されています。中国が他国に依存している技術分野の知見を獲得するために、APT10と関係のあるEarth Kashaが標的を変更したと考えられます」

　またほかの攻撃者グループとの協業や分業化の影響を受けて、Earth Kashaの初期侵入の手法やツールにも変化が見られた。2022年は初期侵入の手段として、特定の組織や人物を狙って偽のメールを送信する「スピアフィッシングメール」を用い、ランサムウェア「LODEINFO」を配布し、攻撃を行っていた。しかし2023年は、インターネットの境界に設置された機器の脆弱性を突く「ネットワーク貫通型攻撃」を用い、LODEINFOや「NOOPDOOR」といったランサムウェア、ペネトレーションテストツール「Cobalt Strike」を悪用して攻撃を行っていた。

　そしてEarth Harpyは、2022年まで米国公的機関を標的にしていた標的型攻撃グループだ。しかし2022年以降は、中国に拠点を置く日本企業や中国に渡航・在住する個人を標的に変更した。Earth Harpyが攻撃手法として用いているのが、マルウェア「FlowCloud」だ。岡本氏は、「FlowCloudはUSBメモリーから侵入するため、攻撃者が被害端末に対して物理的にアクセスし、操作していた可能性があります」と指摘している。

　同レポートでは、昨今の標的型攻撃の傾向についても述べられている。

　岡本氏は、昨今の標的型攻撃の傾向を以下のように説明する。「攻撃傾向には二つの特徴があります。一つ目は、サイバー空間・現実空間といったあらゆる環境を攻撃対象にしている点です。二つ目は、標的の更新が頻繁に行われている点です。国際情勢や経済的理由の下、背景となる国や組織の要求に従って、標的の更新が頻繁に行われています。金銭目的の攻撃も増加しているため、従来標的になり得なかった企業も、今後は標的になり得るでしょう。業種や規模に関係なく、その標的になり得るという認識が企業に必要になってきています」