APT37(REAPER) : 知られざる北朝鮮の攻撃グループ
APT37:見過ごされている北朝鮮の脅威
APT37は北朝鮮の支援を受けている他の攻撃集団に比べて知名度が低いとはいえ、この集団によるグローバル規模の攻撃件数は増加しており、最近ではゼロデイ攻撃も発生しています。早急にネットワーク・セキュリティ対策を講じる必要があります。
FireEyeでは、2015年からTEMP.ReaperとしてAPT37を追跡しており、その活動に関する詳細を当社のインテリジェンス・カスタマーと共有してきました。こうした経緯により、FireEyeはAPT37を熟知しています。APT37に関する独自の情報をFireEyeのエキスパートが解説します。ぜひご覧ください
- APT37の長期にわたる活動が裏付ける北朝鮮との利害関係
- APT37が使用するマルウェアの詳細
- 朝鮮半島を超えて世界に影響を与えてきたAPT37の攻撃
高度な攻撃グループと技術的な脆弱性に関するサイバー脅威情報
FireEyeでは、APT攻撃(Advanced Persistent Threat: 高度で持続的な標的型攻撃)グループの素性や活動内容、TTP(ツール、戦術、手順)の見極め方を解説したサイバー脅威情報レポートを定期的に公開しています。このほか、Eメールやサンドボックス、モバイル・デバイスなど、ビジネス環境で使用されるテクノロジーの脆弱性を取り上げたサイバー脅威情報レポートも提供しています。これらの情報は、APTグループや高度なサイバー攻撃への対策強化に役立てることができます。
破壊的な影響を引き起こす6つのセキュリティ問題
本レポートでは、プラント環境の操業妨害に悪用されうる6つの問題について解説します。この6つの問題は、事業の継続に破壊的な影響を引き起こすにもかかわらず、多くの環境で見過ごされています。レポートのチェックリストに従って問題を解消すれば、関連するリスクを最小限に抑えることができます。
カード情報が金銭に変わるまで:攻撃グループFIN6の活動の解析
攻撃グループFIN6がクレジット・カード情報を窃取し、闇市場で転売するまでの流れを解説します。
引かれた境界線:サイバー・スパイの検討し直す中国
26か国で発生した262件の侵入活動の分析をもとに、中国を拠点とする攻撃者が用いる戦術の変化の背後にある理由と、今後の暗躍の可能性について説明します。
脅威情報:独立調査
- Forresterの調査:FireEye Is Evolving Into An Enterprise Security VendorForrester Researchによる概要報告書では、最近行われたFireEyeによる買収が及ぼす影響について調査しており、FireEyeの利用を検討中のセキュリティ・リスク担当者にとって有益なガイドとなります。(英語)
- 2015 Breach Preparedness and Response Study組織による自社のセキュリティ状況の把握に関する調査結果を紹介するとともに、推奨される措置をケビン・マンディア(Kevin Mandia)が詳細に解説します。
- アラート管理に関する調査:各企業で適切に処理できるアラート数の上限は?大企業の経営幹部レベルのセキュリティ担当者を対象にした、膨大なセキュリティ・アラートの管理方法に関する世界規模のアンケート調査の結果を紹介します。
- IANSの研究調査:Building a Better Budget for Advanced Threat Detection and Prevention 高度なセキュリティ・ソリューションの導入予算を確保するため、セキュリティ担当者はどのような取り組みを行っているのか。その調査結果を紹介します。(英語)
- 次世代脅威対策完全ガイド昨今の高度なサイバー攻撃の実態とネットワークのセキュリティ対策に必要となる次世代の脅威対策に関する包括的なガイドです。
- Gartnerの調査:Taking a Lean-Forward Approach to Combat Today's Cyber Attacks 今日のサイバー攻撃対策には、従来型とは異なる新しいセキュリティ対策が求められている現状について解説します。Gartnerによる調査報告「Strategies for Dealing With Advanced Targeted Attacks」も収録されています。(英語)
- NIST: Best Practices in Cyber Security Chain Risk Management サプライ・チェーンを保護し、ハードウェア開発と製造プロセスを統合してリスク管理を強化するためのベスト・プラクティスを紹介します。(英語)
- Gartnerの調査:The New Breed of Email-based Cyber Attacks Eメールを利用した標的型攻撃についてのレポートです。Gartnerによる調査報告「Email Security Focus Shifts to Address the Risks of Targeted Attacks and Data Loss」も収録されています。(英語)
- Forresterの調査:Planning for Failure 人員の割り当てやトレーニング、テストなど、効果的で実践的なインシデント・レスポンス計画を策定するために検討すべき項目について解説します。(英語)
- Forresterの調査:Determine The Business Value Of An Effective Security Program 情報セキュリティの価値モデルに関するレポートです。このモデルは、情報セキュリティの価値を定量化し、その結果を経営幹部と共有するために役立ちます。(英語)
- SANSによる2013年のレポート:Digital Forensics and Incident Response Survey クラウド・コンピューティングやBYODに関する課題と、新たなIT環境におけるフォレンジック調査についてのアンケートの結果をまとめています。(英語)
- SANSによる2013年のレポート:Critical Security Controls Survey: Moving From Awareness to Action NSAが策定した「クリティカル・セキュリティ・コントロール」の認知および導入に関するアンケート調査の結果をまとめています。(英語)
- IANS Data Compromise Awareness 大規模企業への調査で明らかになった、従来型ITセキュリティ対策の問題点について解説したレポートです。(英語)
- ISMGの調査:The Need for Speed: 2013 Incident Response Survey アンケート調査の結果から判明した、インシデント・レスポンス・チームが直面する課題を詳細に解説します。(英語)
脅威情報:攻撃グループ
- APT28:暗躍するロシアのサイバー・スパイ・グループサイバー攻撃グループAPT28は果たしてロシア政府の支援を受けているのでしょうか。このレポートでは、APT28のサイバー攻撃が10年にわたってロシアの戦略的な利益に貢献し、シリア紛争や2016年の米国大統領選挙などに影響を与えてきた状況をまとめています。ぜひご一読ください。
- Red Line Drawn: China recalculates its use of cyber espionage このレポートでは、サイバー攻撃を行わないという、オバマ大統領と習近平国家主席との間で2015年9月に交わされた合意にもかかわらず確認された中国側のサイバー攻撃作戦について解説します。(英語)
- Follow the Money: Dissecting the operations of the cyber crime group FIN6このレポートでは、攻撃グループFIN6がクレジット・カード情報を窃取し、闇市場で転売するまでの流れを解説します。(英語)
- Pinpointing Targets: Exploiting Web Analytics to Ensnare Victimsこの攻撃では、実行犯がWebサイトを改ざんし、WITCHCOVENと呼ばれるプロファイリングを行うスクリプトが組み込まれたサイトにユーザーをリダイレクトします。本レポートでその手口を詳しく解説します。
- 「HAMMERTOSS」を 利用するロシアのサイバー攻撃グループの手口ロシアの攻撃グループ「APT29」の経歴、標的、手口について解説します。APT29は、検知困難なバックドアHAMMERTOSSを開発したグループです。(英語)
- An Inside Look: Into the World of Nigerian Scammersいわゆる「ナイジェリア詐欺」について解説したレポートです。詐欺グループの標的や手口、組織、知識、テクニック、ツールのほか、詐欺被害から身を守る方法を説明します。(英語)
- APT17: Hiding in Plain Sight - FireEye and Microsoft Expose Obfuscation TacticC&C通信にMicrosoftのTechNetブログを悪用していた中国の攻撃グループ「APT17」について解説します。(英語)
- APT30:長期に及ぶサイバー・スパイ活動の実態政治、経済、軍事関連の重要情報を持つ官公庁や民間企業を標的とする攻撃グループ「APT30」について解説します。
- APT1: Exposing One of China's Cyber Espionage Units 遅くとも2006年から、幅広い組織を対象にサイバー・スパイ活動を展開する攻撃グループ「APT1」について解説します。(英語)
- APT1: Digital Appendix and Indicators APT1が攻撃で使用したドメイン名、IPアドレス、X.509証明書、マルウェアのMD5など、APT1によるセキュリティ侵害の証拠や痕跡(IoC: Indicators of Compromise)を3,000以上まとめています。(英語)
- シリア内戦の背後で進行していたサイバー諜報活動本レポートで解説しているように、シリア反政府勢力の通信ログや戦闘計画についての文書が巧妙なハッキング活動によって窃取されていました。
- ウォール街をハッキング? FIN4 likely playing the marketFIN4と呼ばれる脅威グループは、100社以上の株式公開企業およびコンサルティングを標的とした攻撃を展開しています。攻撃を受けている業種や利用されている手法などの詳細をご確認ください。
- APT28: ロシア政府の関与が疑われるサイバー・スパイ活動に関する分析各国の政府や軍隊、安全保障機関の内部情報を狙うロシアの攻撃グループについて解説します。
- Operation Saffron Rose 米国の軍需産業およびイランの反体制派を標的とする複数のサイバー・スパイ活動を分析します。(英語)
- Operation “Ke3chang”: Targeted Attacks Against Ministries of Foreign Affairs 攻撃グループ「Ke3chang」による、ヨーロッパ各国の外務省に対する攻撃と侵害について分析します。(英語)
- Supply Chain Analysis: From Quartermaster to Sunshop 一見無関係なAPT攻撃11件を検証し、さらに追跡調査を実施したところ、ある共通の「サプライ・チェーン」の存在を示唆する複数の共通点が浮かび上がってきました。(英語)
脅威情報:テクノロジー
- Overload: Critical lessons from 15 years of ICS vulnerabilitiesこの脅威情報レポートでは、産業制御システム(ICS)の脆弱性の開示に関する傾向と、ICS資産所有者向けの見通しと推奨事項を説明します。(英語)
- Connected Cars: The open road for hackers車両の内部システムと外部システムに対するリスク上位5件について説明します。(英語)
- Matryoshka Mining: Lessons from Operation RussianDoll今後発生する攻撃を検知し、高度なマルウェア解析を実施するツールとテクニックを紹介します。(英語)
- FireEye Labs Report: 2015 holiday season email campaignsFireEye Labsが収集した、2015年の休暇シーズン中に拡散して大きな注目を集めたマルウェア・ファミリー6種について説明します。(英語)
- Pinpointing Targets: Exploiting Web Analytics to Ensnare Victimsこの攻撃では、実行犯がWebサイトを改ざんし、WITCHCOVENと呼ばれるプロファイリングを行うスクリプトが組み込まれたサイトにユーザーをリダイレクトします。本レポートでその手口を詳しく解説します。
- SYNful Knock: A Cisco Implant攻撃者がCiscoルータを攻撃経路として利用して足がかりを築き、データを窃取したセキュリティ・インシデントについて詳しく解説します。
- Windows Management Instrumentation (WMI) Offense, Defense, and Forensics Windows Management Instrumentation(WMI)を悪用した攻撃手法と、このような攻撃を的確に検知し対処するためのネットワーク・セキュリティ対策について詳しく解説します。(英語)
- Mobile Threat Report標的型のマルウェアやアドウェア、深刻な脆弱性を含む正規のアプリなど、モバイル・デバイスに対する主要な脅威について詳しく解説します。(英語)
- ファイルベースの サンドボックスの回避 ファイルベースの既製のサンドボックスを回避するためにマルウェアが使用する手法について解説します。
- A Daily Grind: Filtering Java Vulnerabilities 悪用頻度の高いJavaの脆弱性3件について、その内部的な仕組みや挙動、これらを狙うエクスプロイト・キットの感染フローを検証します。(英語)
- Investigating PowerShell Attacks フォレンジック分析の結果に焦点を当てながら、PowerShellの悪用を制限するWindowsのセキュリティ機能について解説します。また、攻撃者が取得可能なアクセス・レベルに関する著者の見解を示します。(英語)
- 高度なサイバー攻撃者の痕跡:攻撃者の素性を特定する7つの手がかり 攻撃者の素性を特定するために必要な情報について説明します。
- Leviathan: Command and Control Communications on Planet Earth 世界中のFireEye導入環境で確認された、マルウェアからC&Cサーバーへの初期コールバックを分析します。(英語)
- Sidewinder Targeted Attack Against Android in the Golden Age of Ad Libraries Android搭載端末を乗っ取り、アプリが使用する広告ライブラリを使用して、位置情報の追跡、写真の撮影、テキストの送信などを行う「サイドワインダー式標的型攻撃」について解説します。(英語)
- DLL Side-loading: A Thorn in the Side of the Anti-Virus Industry DLLのサイドローディングというよくあるサイバー攻撃手法と、正規ファイルの悪用を防止するための対策について解説します。(英語)
- Brewing Up Trouble: Analyzing Four Widely Exploited Java Vulnerabilities 悪用されやすいJavaの脆弱性4件の内部的な仕組みを検証します。(英語)
- The Little Malware That Could: Detecting and Defeating the China Chopper Web Shell Webシェル「China Chopper」の機能のうち、特にサイバー攻撃での使用頻度の高い機能と、その効果的な検知方法について説明します。(英語)
- Poison Ivy: Assessing Damage and Extracting Intelligence 長年にわたり広く使用されているRAT「Poison Ivy」と、Poison Ivyへの感染を検知する無償ツール「Calamine」について解説します。(英語)
- 企業のネットワークに侵入して情報を窃取するスピア・フィッシング詐欺でよく使われる語句 サイバー攻撃者が、従来型のセキュリティ対策をすり抜けるために使用しているファイル名やファイル形式について解説します。