国内複数組織からマルウェアによる外部通信 - 6月後半よりさらに増加

プライスウォーターハウスクーパース（PwC）は、国内の複数組織よりマルウェアが原因と見られる外部通信が発生していることを明らかにした。これらはいずれも中国の攻撃グループによるものだったという。

同社では、攻撃者が利用したドメインを取得。設置したDNSシンクホールを利用して、感染パソコンからコマンド＆コントロール（C＆C）サーバのIPアドレスを問い合わせるDNSクエリを観測しており、アクセス状況を明らかにしたもの。

シンクホールへのアクセス数推移（グラフ：PwC）

同社によれば、5月から6月にかけて、政府や官公庁のほか、金融機関、航空、自動車、エネルギー関連企業など国内の複数の組織、企業からシンクホールに対する継続的な通信を観測。6月2日には1日あたり200件以上のアクセスを観測し、ピークを迎えた。同日以降は、小康状態だったが、6月21日以降に再びアクセスが増加。6月22日には350件を上回るアクセスがあったという。

すでにマルウェア感染が判明し、複数の組織がマルウェア感染を公表しているが、感染を把握できずに現在もマルウェアによる外部通信を許している企業や組織が多数存在すると分析。同社では感染組織に対し、直接あるいは第三者機関を通じて情報を提供したという。

またシンクホールに対する通信内容や、攻撃に利用されたツール、マルウェアなどを収集、分析したところ、中国に関連する2グループの攻撃であることを確認。同社では「Red Apollo」「Red Wave」と命名しており、観測した約9割は、「Red Apollo」による攻撃だった。

（Security NEXT - 2015/07/03 ） ツイート

PR

関連記事

LinuxカーネルのUSBオーディオドライバ脆弱性 - 攻撃の標的に
「Android」にセキュリティパッチ - 複数脆弱性で悪用も
「Android」の3月パッチが公開 - ゼロデイ脆弱性2件に対応
フィッシング被害から個人情報流出や不正メール送信が発生 - 日本無線
「Chrome」のGPU脆弱性修正、WebKit関連のゼロデイ脆弱性と判明
米政府、Apple製品や「Junos OS」の脆弱性悪用に注意喚起
Apple、「iOS 18.3.2」など公開 - 旧iOSにゼロデイ攻撃の可能性
【特別企画】なぜ今「ASM」が注目されるのか - 攻撃者視点こそ防御のかなめ
IPA、「情報セキュリティ10大脅威 2025 組織編」の解説書を公開
「Android」に複数脆弱性を修正するアップデート - 一部で悪用の兆候