ニュース

「レポートを読んでほしい」という知人のメールでマルウェア感染――トレンドマイクロが警告

 トレンドマイクロ株式会社は2日、「国内標的型攻撃分析レポート2025年版」を公開するとともに、国内の標的型攻撃について解説するメディアセミナーを開催した。同社は、2012年より国内を狙った標的型攻撃の分析レポートや個々の攻撃に関する調査を公開。今回のセミナーでもマルウェア感染の手口などを含めて紹介した。

 トレンドマイクロ セキュリティエバンジェリストの岡本勝之氏は、2024年に国内組織で観測した標的型攻撃のグループとして、Earth Kasha、Earth Harpy、Earth Kumiho、Earth Koshchei、APT-C-60を挙げる。この中で岡本氏が今回特に注目したのは、Earth KashaとAPT-C-60だ。

トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏
国内組織で観測した標的型攻撃

 Earth Kashaは、別名MirrorFaceともいわれるグループ。岡本氏によると、2019年から2022年までは日本国内でのみ観測されており、公共関連組織や国際関係の組織・個人などに対し、標的型メール経由でLODEINFOなどのマルウェアを配布していたという。

 その後、2023年から2024年初頭にかけてはネットワーク貫通型攻撃にシフトし、アクセス権を奪ってネットワーク内に侵入するような攻撃へと変化。同時に、攻撃対象が日本のみならず台湾やインドにまで広がった。2024年中期以降は、再度標的型メールを使用した攻撃となり、マルウェア「ANEL」を用いた攻撃が観測されているとした

 「ANELは、2018年ごろまで日本を標的とするAPT10が使用していたが、その後APT10の活動がほぼ見られなくなったことで観測されていなかった。それがEarth Kashaが再び使い始めたため、Earth KashaをAPT10の関連グループと判断した」と岡本氏は説明する。

Earth Kasha

 2024年に確認した標的型メールのタイトル例としては、「取材申請書」「米中の現状から考える日本の経済安全保障」「官公庁・公的機関一覧」などがあったと岡本氏。最近特に多いのが、面識のある人から「レポートを書いたので読んでほしい」といった内容のメールが届くケースで、「ある程度信用する人からのメールを疑う人はあまりおらず、開いてしまう。最近は添付ファイルではなく、GoogleドライブやOneDriveなど一般的なサービスのリンクを使い、警戒されないようにする手口が多い」と岡本氏は警告する。

Earth Kashaのタイムライン

 ダウンロードしたファイルの中には、一見Wordファイルのようなものが入っており、それを開くと何も書かれていなかったり、実際にそれらしい内容が書かれていたりするというが、その裏ではスクリプトが動き出してマルウェアをダウンロードし、遠隔操作が確立されるという。

 本物のWordファイルとマルウェアを判別する方法として岡本氏は、「マルウェアは左下にショートカットのアイコンがついていることが多い」と説明。ショートカットの先が本当にWordファイルとは限らないためだ。

Earth Kashaによるファイル(左下)とその裏で動くスクリプト

 2025年1月8日には、警察庁がEarth Kashaに関する注意喚起を公開している。ただ、その後3月にもトレンドマイクロは日本および台湾の政府機関や公共機関などを標的としたEarth Kashaの攻撃キャンペーンを観測しており、「被害者組織の特性や感染後の活動状況を考慮すると、諜報活動を目的とするキャンペーンと考えられる」と岡本氏。また、Earth Kashaの攻撃のプロセスは2024年とほぼ変わらないというが、「DNS over HTTPSに対応する機能を新たに搭載するなど巧妙化を図っている」として、最新情報を入手することが防御上非常に重要だと岡本氏は述べている。

 もう一方のAPT-C-60は、2021年以降、韓国、中国、日本など東アジアを標的として活動するAPTグループだ。2024年には、韓国を狙ったWPS Officeの脆弱性を悪用したキャンペーンや、日本を狙った仮想ハードディスクのファイル形式VHDXを配布する標的型メールキャンペーンなどが観測されており、2024年11月にはJPCERT/CCがAPT-C-60に関する注意喚起を行っている。

 2024年8月ごろに観測された日本の組織を狙った攻撃では、VHDXのファイル名などから、「外部に公開されているメディア関係者向けのメールアドレスや企業の採用担当窓口にメールを送付して侵入を図ったと思われる」と岡本氏。この攻撃の場合も、メールに記載されているGoogleドライブのURLリンクからVHDXファイルをダウンロードし、VHDX内に含まれるショートカットファイルをユーザーが実行することで、不正プログラムに感染する。

 APT-C-60の帰属については、攻撃対象の分析などから、韓国系のDarkHotelというAPTグループとの関連性が言及されているものの、「具体的な国名や既存グループとの関連性については意見が定まっていない」と岡本氏は述べている。

APT-C-60

 岡本氏は、「昨今の地政学的緊張の高まりによって、標的型攻撃は攻撃対象を広域化させており、標的の環境や状況に対して臨機応変に攻撃を使い分けている」と、標的型攻撃の傾向を分析。このことから、「脅威インテリジェンスを活用したプロアクティブな防御体制が重要だ」と強調している。

傾向を踏まえた防御側に求められる姿勢