国内複数組織からマルウェアによる外部通信 - 6月後半よりさらに増加

プライスウォーターハウスクーパース（PwC）は、国内の複数組織よりマルウェアが原因と見られる外部通信が発生していることを明らかにした。これらはいずれも中国の攻撃グループによるものだったという。

同社では、攻撃者が利用したドメインを取得。設置したDNSシンクホールを利用して、感染パソコンからコマンド＆コントロール（C＆C）サーバのIPアドレスを問い合わせるDNSクエリを観測しており、アクセス状況を明らかにしたもの。

シンクホールへのアクセス数推移（グラフ：PwC）

同社によれば、5月から6月にかけて、政府や官公庁のほか、金融機関、航空、自動車、エネルギー関連企業など国内の複数の組織、企業からシンクホールに対する継続的な通信を観測。6月2日には1日あたり200件以上のアクセスを観測し、ピークを迎えた。同日以降は、小康状態だったが、6月21日以降に再びアクセスが増加。6月22日には350件を上回るアクセスがあったという。

すでにマルウェア感染が判明し、複数の組織がマルウェア感染を公表しているが、感染を把握できずに現在もマルウェアによる外部通信を許している企業や組織が多数存在すると分析。同社では感染組織に対し、直接あるいは第三者機関を通じて情報を提供したという。

またシンクホールに対する通信内容や、攻撃に利用されたツール、マルウェアなどを収集、分析したところ、中国に関連する2グループの攻撃であることを確認。同社では「Red Apollo」「Red Wave」と命名しており、観測した約9割は、「Red Apollo」による攻撃だった。

（Security NEXT - 2015/07/03 ） ツイート

PR

関連記事

2024年4Qのインシデントは約8％増 - 「FortiManager」脆弱性の侵害事例も
北朝鮮による暗号資産窃取に警戒を - 日米韓が共同声明
中国関与が疑われる「MirrorFace」の攻撃に注意喚起 - 警察庁
「VPN脆弱性」以外の侵入経路もお忘れなく - 水飲み場攻撃など健在
教職員に多数の標的型攻撃メール、アカウント詐取被害 - 大体大
先週注目された記事（2024年11月3日〜2024年11月9日）
「Android」にセキュリティアップデート - 一部脆弱性は悪用も
「RDPファイル」添付した標的型攻撃メールに警戒呼びかけ - 米当局
標的型攻撃メール訓練サービスに「サポート詐欺」対策など追加
3Qのインシデントは2割減 - ただし「サイト改ざん」は倍増