アクセスしただけで情報抜かれる偽サイト - サイバー攻撃の事前準備か
日本の政府や外郭団体、企業などのドメインを模したURLで偽サイトを設置し、端末の情報などを収集する諜報活動が確認されている。収集された情報が今後サイバー攻撃に悪用される可能性もあり、注意が必要だ。
攻撃の流れ(図:PwC)
プライスウォーターハウスクーパース(PwC)によれば、日本国内の6組織のドメインを連想させるURLを用いた偽サイトを設置し、情報を収集する活動をあらたに確認したという。フォームなどへ情報を入力させ、情報を騙し取る従来のフィッシングとは異なり、アクセスしただけで端末やネットワーク、キー入力の情報などが窃取されるおそれがある。
同社では、類似ドメインから派生したURLの具体的な件数の規模は不明としつつも、多数確認したとしている。攻撃者の素性や攻撃の目的はわかっていないが、脆弱性の有無といった情報が蓄積され、サイバー攻撃に悪用される可能性もある。
攻撃には、開発者が「Scanbox」と名付けた諜報フレームワークが利用されている。同ツールは、2014年前半に世界的に知られる日本の産業機器サプライヤーのウェブサイトが改ざんされたケースで利用されたことが判明している。
また2014年後半には、日本国内の製造業、米シンクタンク、中国ウイグル地区、韓国などを狙った活動で利用が確認されており、その際は「google」の類似ドメインが用いられた。
(Security NEXT - 2015/07/29 )
ツイート
関連リンク
PR
関連記事
「Cobalt Strike」不正利用対策で国際作戦 - 攻撃元IPアドレスを封鎖
国家関与のサイバー攻撃「ArcaneDoor」 - 初期侵入経路は不明、複数ゼロデイ脆弱性を悪用
露APT28のマルウェア「GooseEgg」が見つかる - 2019年4月よりゼロデイ攻撃を展開か
「Office」のゼロデイ脆弱性、ロシア攻撃グループが悪用
米政府、マルウェア「Snake」の分析結果を公開 - 露関与と指摘
取材や講演会依頼装う標的型攻撃 - 「コロナで中止」とつじつま合わせ
2021年度下半期、標的型攻撃対応で62件の緊急レスキュー実施
米同盟やEU、中国支援のサイバー攻撃を批判 - 関係者の訴追も
米政府、サイバー攻撃など理由にロシアへ制裁 - SolarWinds侵害も正式に認定
正規署名で検知回避する「SigLoader」 - VPN経由の標的型攻撃で悪用