Digital Arts Security Reports

2019/07/18   
サイバー攻撃    標的型攻撃メール    i-FILTER   

サイバー攻撃URL、ドメイン取得後最短0日で利用される

日々、インターネット利用者を脅かすマルウェアやフィッシング詐欺などの脅威。
サイバー攻撃の被害に遭うと、不正ログインや情報漏洩、個人情報流出など、企業・個人問わず大きな損害に繋がります。

攻撃手法や攻撃対象は多岐に渡りますが、特定の企業や団体・組織をターゲットにした脅威として、標的型攻撃が存在します。中でもメールによる攻撃が主流となっており、業務に関係したメールだと誤認させる件名や内容を用いて不正なファイルを送付する攻撃が行われています。感染することで、情報漏洩などの被害に陥ることがあります。

【図1】メールによる標的型攻撃の流れ
【図1】メールによる標的型攻撃の流れ

攻撃に用いられたURLのドメイン取得日と攻撃観測日

弊社では2019年1月から執筆時点までに標的型(ばらまき型)攻撃メールキャンペーンを26回観測しております。その中からマルウェアのダウンロードサイトやC2サーバといった悪性の通信に利用されたドメインの調査を行いました。

【図2】ドメイン調査結果
【図2】ドメイン調査結果

「ドメイン取得から攻撃までの期間が30日以内のURL」を使ったキャンペーンが19回(約73%)観測されました。中でも「wex-notdead[.]ru」「mondaydrem[.]ru」ドメインを取得した日に攻撃に使われています。
これらは我々防御側が検知できるものではなく、攻撃者しか知り得ない通信先と言えるでしょう。

悪性の通信に対し、ブラックリスト方式で事前に対策を講じることは難しい

このような攻撃に対して様々なセキュリティ対策が行われていますが、送信元を信頼性のある企業に偽装し送付するなど日々巧妙化する攻撃手法に対して「一切受信しない」「添付ファイルの開封を自動でブロックする」などといった根本的な対策は取れていません。また、攻撃に用いられる通信の多くは攻撃者しか知り得ない通信先です。悪性の通信をリスト化して遮断するブラックリスト方式は新たな脅威に弱く、防御側は「攻撃の発生」と「攻撃検知後の対策」のいたちごっこを続けている状態です。

しかし、アクセスしてよいデータをリスト化するホワイトリスト方式は非常に有効だと考えます。許可した安全な通信先にのみアクセスが行えることで、悪性の通信に対してのアクセスをブロックすることが可能となります。

IoC(Indicator of Compromise)

Domain/IP

  • panisdar[.]com
  • papirson[.]com
  • socelina[.]com
  • gamidron[.]com
  • olkerona[.]com
  • mopscat[.]com
  • benistora[.]com
  • baderson[.]com
  • onbraker[.]com
  • podertan[.]com
  • sumeriun[.]com
  • gerdosan[.]com
  • omnifoxt[.]com
  • instant-payments[.]ru
  • news-medias[.]ru
  • pidobrake[.]com
  • ipunedtos[.]com
  • donersonma[.]com
  • lidersonef[.]com
  • registry-cloud[.]ru
  • binance-forever[.]ru
  • wex-notdead[.]ru
  • berdiset[.]top
  • big-partynew[.]ru
  • firedron[.]top
  • elievarsen[.]ru
  • mondaydrem[.]ru
  • bibicity[.]ru
  • tupeska[.]top
デジタルアーツでは

未知のURLに着目し、防御側が先手を打てる圧倒的なメリットを誇るのが弊社Webセキュリティ製品「i-FILTER」Ver.10の"ホワイトリストDB運用"です。
従来のブラックリスト方式のDBでは、既知の悪性URLをDBに登録していました。DBに登録されていないURLはアクセス可能であったため、未知のURLはブロック対象外でした。
ホワイトリスト方式のDBでは、安全と確認されたURLをDBに登録。DBに登録されていないURLはアクセス禁止となります。これにより未知のURLもブロックが可能となり、オフィスの環境を常に脅威から守ることができます。

  1. Digital Arts Security Reports をダウンロード

ダウンロードにはお客様情報の入力が必要となります。

<関連リンク>

「i-FILTER」Ver.10と「m-FILTER」Ver.5は、これまでにない標的型攻撃対策機能を搭載し、外部からの攻撃対策と内部からの流出対策をひとつのソリューションで圧倒的なコストパフォーマンスのもと実現します。

サイバーリスク情報提供「Dアラート」は「i-FILTER」Ver.10、「m-FILTER」Ver.5、「i-FILTER@Cloud」「m-FILTER@Cloud」の機能を利用して、マルウェア感染の疑いのあるお客様や弊社のお客様以外へも感染情報やホームページの改ざん情報をお知らせする、登録不要の無償の情報提供サービスです。

最近の記事
Recent Entry

RSS

イベント・セミナー情報

大企業に限らず、 中小企業の経営者・セキュリティご担当者様も必見! 「サプライチェーン攻撃」対策を、安価かつ堅牢に実現されている事例をご紹介

日程
2019年10月17日(木)
会場
オンラインセミナー

クラウドストレージ「Box」の活用術Box導入を成功に導くポイントを伝授

日程
2019年10月23日(水)
会場
JPタワー名古屋

「やってはイケナイ」をやってみよう 第3弾 in 大阪

日程
2019年10月29日(火)
会場
アットビジネスセンター PREMIUM 大阪駅前

DIS ICT EXPO
ダイワボウ情報システムがお届けするICT機器総合展示会・イベント

日程
宮崎:2019年9月3日(火)
札幌:2019年9月10日(火)
金沢:2019年11月6日(水)
瀬戸内(山口):2019年11月19日(火)
関西:2020年1月29日(水)
名古屋:2020年2月14日(金)
会場
宮崎:JA・AZMホール
札幌:札幌コンベンションセンター
金沢:金沢流通会館
瀬戸内(山口):海峡メッセ下関
関西:グランフロント大阪
名古屋:ウインクあいち