[本資料は、2016年10月6日にKaspersky Labが発表したプレスリリースに基づく参考資料です]
Kaspersky Labの調査分析チーム(GReAT)のセキュリティリサーチャー※1 がVirus Bulletinカンファレンスで発表した論文によると、標的型攻撃の実行者達は、「偽旗(にせはた)」となるタイムスタンプ、言語文字列やマルウェアの利用などの多様な手法により、実在しない組織を装ってサイバー犯罪活動を行っていることが明らかになりました。
標的型攻撃の背後に存在する組織の正体を正確に把握することは非常に困難です。Kaspersky Labは、高度な技術を持つサイバー犯罪組織が、いわゆる偽旗作戦によって標的やセキュリティリサーチャーを欺く事例が増えている現状を公にし、脅威インテリジェンス環境においてアトリビューション(実行者を特定すること)の複雑さと不透明さが増していることを示しました。
セキュティリサーチャーが攻撃の発信元を究明する際に最も重視する指標と、サイバー犯罪組織がそれらの指標を欺いた例を紹介します。
Kaspersky Labのシニアセキュリティリサーチャー、ブライアン・バーソロミュー(Brian Bartholomew)は次のように述べています。「標的型攻撃のアトリビューションは複雑で当てにならず、客観性を欠きます。それに加え、リサーチャーが利用する指標を改竄して混乱させようする事例が増えているため、正確なアトリビューションはほぼ不可能だと私たちは考えています。脅威インテリジェンスには『実行犯』の特定よりはるかに深くて測定可能な価値があります。マルウェアエコシステムの最上位に位置する捕食者を理解して、強力かつ実行可能な脅威インテリジェンスを必要とする組織に提供することが求められています。私たちはそこに注力するべきです」
標的型攻撃で「偽旗」を使用してアトリビューションを混乱させる手法の詳細および論文については、Securelist.comをご覧ください。また、Kaspersky LabのAPTインテリジェンスレポートサービスの詳細については、こちらをご覧ください。
※1 Global Research and Analysis Team(GReAT、グレート)セキュリティリサーチャー
ブライアン・バーソロミュー(Brian Bartholomew)、ファン・アンドレス・ゲレーロサーデ(Juan-Andres Guerrero-Sade)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
※2 TigerMilkに関するレポートは、APTインテリジェンスレポートサービスで提供しています。