piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

6月4日に警視庁が発表した政府機関等へのサイバー攻撃についてまとめてみた。

2014年6月4日、警視庁公安部が政府機関や防衛関連企業など複数の組織がサイバー攻撃を受けたことを発表しました。ここではその関連情報についてまとめます。

(1) 被害状況

攻撃を受けた組織(具体的に名前が出されているケース)
マルウェアに感染した組織
  • サイバー攻撃を受けた組織の一部が被害を受けた。
  • 少なくとも100台以上のパソコンで感染が確認された。
  • 重要情報の流出は確認されていない。
  • 中国ドメインへ接続していたケースは約9割だった。
    • 法人名義などで登録されていたが、実在するかどうかは警視庁は確認できていない。
    • 警視庁は中国国内から職業的な集団による攻撃の可能性もあると見ている。
サイバー攻撃の手口
  • 攻撃対象へ標的型攻撃メールを送りつける手口が多い。
  • 今回の調査では少なくとも約140通以上の不審なメールが確認された。*2
  • 事前に攻撃対象が利用しているメール共有サービスに潜入し、名簿やメールアドレス等の個人情報を収集していた。*3
  • 架空の人物でFacebook等を使って攻撃対象に接近し、仕事や趣味について情報を収集していた。*4
  • 攻撃には数十台規模のPCが継続的に使用されていた。
  • マルウェアの開発環境の言語に中国語が設定されていた。
  • メール送信失敗を通知する「エラーメール」を偽装し、リンク先に誘導してマルウェアに感染させる手口。*5
防衛関連企業のマルウェア感染のケース
  • 職員のPCがマルウェアに感染した。
  • 2011年3月〜2012年11月までの間、約40万回 中国のサーバーへ接続していた。
  • キーロガーが仕込まれ、情報が盗み取られた痕跡があった。

(2) 発端

  • 2011年9月に確認されたMHI事案を受け、警視庁公安部が実態調査を行ったことによる。*6
    • 警視庁公安部が調査を行い、6月4日に発表を行った。
    • 2009年(5月?)以降の5年間が対象。

(3) 警察の対応

メモ

攻撃で使われていたメールの文面
  • NNN報道映像より文字起こし

I'm sorry to have to inform you that message could not
be delivered to one or more recipients. It's attached below.

========================================================
※このメールは、メールサーバーより自動的に送信されています。
このメールには返信しないでください。
========================================================

下記のメールアドレス宛のメールが、配送できませんでした。
いかにメールサーバーからのエラーメッセージを記載いたします。

  • エラーメッセージ -

ドメイン推定

  • ドメインは「mail.yahoo.customer.skyruss.net」と思われる。
スキャナサイトにレポートが存在
  • Virustotal
  • urlQuery
  • いずれも4/22時点のデータなのでシンクホール化された後の可能性大。
当該ドメインKasperskyに既にシンクホール化されている模様
  • アクセスすると次の画面が表示される。

Content-Type:text/html
Date:Wed, 04 Jun 2014 16:15:10 GMT
Server:lighttpd/1.4.35
Transfer-Encoding:chunked
X-Sinkhole:Malware

VTに残っていた「ダウンロードされたファイル」の情報
  • ダウンロードされたファイルはただの404のHTMLファイルだった模様。(UCQ氏ありがとうございます!)

更新履歴

  • 2014/06/05 AM 新規作成
  • 2014/06/05 AM 発端の箇所を修正。
  • 2014/06/06 PM ダウンロードされたファイルがただの404HTMLファイルだったことを追記。