訃報を装ったメールに仕込まれた「DragonOK」- 巧妙な標的型攻撃を防ぐ術
その開いたファイルが喪中葉書であれば完全に信じてしまう人もいるだろう。だが実は、開かれたファイルの裏で遠隔操作型(RAT)マルウェアがダウンロードされている。
これが2015年の1月~3月に掛けて、日本の大手製造/鉄鋼企業に対して送りつけられた新種の標的型攻撃である。そしてこの実行犯は、中国江蘇省を拠点にするサイバー犯罪グループ「DragonOK」とみられている。
「DragonOKは日本や台湾の製造業やハイテク産業を主な標的としています。今後も、日本企業に対して繰り返し攻撃を仕掛けてくる可能性は非常に高いでしょう」(乙部氏)
○巧妙化する標的型攻撃を防ぐための手段
海外のサイバー犯罪者集団でありながら、日本の習慣を熟知するかのような手口を使ってきたことに衝撃を受けた人も多かった。と同時に、この攻撃を発見し侵入を防いだことで、パロアルトが提供するセキュリティサービスへの注目も高まった。それが、世界規模でマルウェアの分析を行うクラウドサービス「WildFire」と、そこから得られる脅威情報を検索し、分析を行うサイバー脅威インテリジェント情報サービス「AutoFocus」ある。
なお「AutoFocus」