Digital Arts Security Reports

2019/07/18    i-FILTER,サイバー攻撃,標的型攻撃メール

サイバー攻撃URL、ドメイン取得後最短0日で利用される

日々、インターネット利用者を脅かすマルウェアやフィッシング詐欺などの脅威。
サイバー攻撃の被害に遭うと、不正ログインや情報漏洩、個人情報流出など、企業・個人問わず大きな損害に繋がります。

攻撃手法や攻撃対象は多岐に渡りますが、特定の企業や団体・組織をターゲットにした脅威として、標的型攻撃が存在します。中でもメールによる攻撃が主流となっており、業務に関係したメールだと誤認させる件名や内容を用いて不正なファイルを送付する攻撃が行われています。感染することで、情報漏洩などの被害に陥ることがあります。

【図1】メールによる標的型攻撃の流れ
【図1】メールによる標的型攻撃の流れ

攻撃に用いられたURLのドメイン取得日と攻撃観測日

弊社では2019年1月から執筆時点までに標的型(ばらまき型)攻撃メールキャンペーンを26回観測しております。その中からマルウェアのダウンロードサイトやC2サーバといった悪性の通信に利用されたドメインの調査を行いました。

【図2】ドメイン調査結果
【図2】ドメイン調査結果

「ドメイン取得から攻撃までの期間が30日以内のURL」を使ったキャンペーンが19回(約73%)観測されました。中でも「wex-notdead[.]ru」「mondaydrem[.]ru」ドメインを取得した日に攻撃に使われています。
これらは我々防御側が検知できるものではなく、攻撃者しか知り得ない通信先と言えるでしょう。

悪性の通信に対し、ブラックリスト方式で事前に対策を講じることは難しい

このような攻撃に対して様々なセキュリティ対策が行われていますが、送信元を信頼性のある企業に偽装し送付するなど日々巧妙化する攻撃手法に対して「一切受信しない」「添付ファイルの開封を自動でブロックする」などといった根本的な対策は取れていません。また、攻撃に用いられる通信の多くは攻撃者しか知り得ない通信先です。悪性の通信をリスト化して遮断するブラックリスト方式は新たな脅威に弱く、防御側は「攻撃の発生」と「攻撃検知後の対策」のいたちごっこを続けている状態です。

しかし、アクセスしてよいデータをリスト化するホワイトリスト方式は非常に有効だと考えます。許可した安全な通信先にのみアクセスが行えることで、悪性の通信に対してのアクセスをブロックすることが可能となります。

IoC(Indicator of Compromise)

Domain/IP

  • panisdar[.]com
  • papirson[.]com
  • socelina[.]com
  • gamidron[.]com
  • olkerona[.]com
  • mopscat[.]com
  • benistora[.]com
  • baderson[.]com
  • onbraker[.]com
  • podertan[.]com
  • sumeriun[.]com
  • gerdosan[.]com
  • omnifoxt[.]com
  • instant-payments[.]ru
  • news-medias[.]ru
  • pidobrake[.]com
  • ipunedtos[.]com
  • donersonma[.]com
  • lidersonef[.]com
  • registry-cloud[.]ru
  • binance-forever[.]ru
  • wex-notdead[.]ru
  • berdiset[.]top
  • big-partynew[.]ru
  • firedron[.]top
  • elievarsen[.]ru
  • mondaydrem[.]ru
  • bibicity[.]ru
  • tupeska[.]top
デジタルアーツでは

未知のURLに着目し、防御側が先手を打てる圧倒的なメリットを誇るのが弊社Webセキュリティ製品「i-FILTER」Ver.10の"ホワイトリストDB運用"です。
従来のブラックリスト方式のDBでは、既知の悪性URLをDBに登録していました。DBに登録されていないURLはアクセス可能であったため、未知のURLはブロック対象外でした。
ホワイトリスト方式のDBでは、安全と確認されたURLをDBに登録。DBに登録されていないURLはアクセス禁止となります。これにより未知のURLもブロックが可能となり、オフィスの環境を常に脅威から守ることができます。

  1. Digital Arts Security Reports をダウンロード

ダウンロードにはお客様情報の入力が必要となります。

<関連リンク>

受信したすべてのメールを開け、アクセスしたいWebをクリックできる。情報システム部門の運用負荷も削減できる。デジタルアーツの「ホワイト運用」がセキュアな世界を実現します。

サイバーリスク情報提供「Dアラート」は「i-FILTER」Ver.10、「m-FILTER」Ver.5、「i-FILTER@Cloud」「m-FILTER@Cloud」の機能を利用して、マルウェア感染の疑いのあるお客様や弊社のお客様以外へも感染情報やホームページの改ざん情報をお知らせする、無償の情報提供サービスです。

最新情報をお届けします。