ホーム > 情報セキュリティ > 最近のトロイの木馬攻撃に関する情報と対策

最近のトロイの木馬攻撃に関する情報と対策

同様の攻撃は昨年より継続しており、米国内の組織に対しても同様の傾向が観測されている。
攻撃対象は幅広いが、攻撃者は政治、軍事、外交方面などに関心があるかこれらに関心を持つユーザに関心がある模様。送付対象が広い場合にこれを標的型攻撃と呼ぶか否かについては議論の余地はあるが、何らかの意図を持って行われている可能性は高いと思われる。

当面の対策として以下が考えられる。

・関連のメールの特徴情報(送信元IP、添付ファイル、タイトル、本文)を共有しサーバーのログ等から類似したメールが組織に届いていないかを確認する。脅威レベルが高いと思われる組織では、これら情報に基づくフィルタリングルールを設定するか必要に応じて添付ファイル等の使用を制限することなどを検討する。

 例)2008/4/16 12:00 現在の公知情報

  送信元IP: 84.18.200.200
  From: 防衛省
  Subject: 防衛省所管公益法人一覧

  ソース:http://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/04.html#20080414_virus

  ※送信元IP: 84.18.200.200については英国にあるFree VPNを使用している模様

・同様にトロイの木馬実行時にみられる振る舞いに関する情報( 3233.org ドメインへのアクセスなど )を共有しルータ、ファイアウォール、IDS/IPSなどのログを確認また、これらのドメインへのアクセスを制限または監視する設定を行う。

 例)2008/4/16 12:00 現在の公知情報

 接続先: cyhk.3322.org
       hi222.3322.org

 ソース:http://www.symantec.com/enterprise/security_response/weblog/2008/04/email_spoofed_from_japanese_go.html”>http://www.symantec.com/enterprise/security_response/weblog/2008/04/email_spoofed_from_japanese_go.html”>http://www.symantec.com/enterprise/security_response/weblog/2008/04/email_spoofed_from_japanese_go.html

・上記のような情報を広く公知しユーザを含め注意を促す。

※対策情報の共有のため関連情報を入手された方は、JPCERT/CCやIPAなどしかるべき機関への情報提供にあわせ、本ページ右上にあるメールアドレスまでご連絡いただければ幸いです。

【関連情報】
■Japanese Companies Targeted(The Dark Visitor, 4/14)
http://www.thedarkvisitor.com/2008/04/japanese-companies-targeted/

■Chinese hackers target US defense contractors(The Dark Visitor, 4/11)
http://www.thedarkvisitor.com/2008/04/chinese-hackers-target-us-defense-contractors/

■The New E-spionage Threat(Business Week, 4/10)
http://www.businessweek.com/magazine/content/08_16/b4080032218430.htm?chan=magazine+channel_top+stories

■トロイの木馬が埋め込まれたMicrosoft Wordファイルによるターゲット攻撃(トレンドマイクロ, 2008/2/1)
http://blog.trendmicro.co.jp/archives/1287

■福田首相のHP閉鎖 「なりすましメール」出回る(Asahi.com, 2007/10/3)
http://www.asahi.com/digital/internet/JJT200710030005.html

■「福田首相」メール、添付ファイルにマルウェア仕込む(ITmedia, 2007/9/26)
http://www.itmedia.co.jp/enterprise/articles/0709/26/news021.html

■福田新首相を騙った不審なメール(トレンドマイクロ, 2007/9/28)
http://blog.trendmicro.co.jp/archives/1219

■福田新首相の名を騙るメールに注意、Symantecが警告(InternetWatch, 2007/9/26)
http://internet.watch.impress.co.jp/cda/news/2007/09/26/16986.html

■New Prime Minister, New Trojan(symantec, 2007/9/25)
http://www.symantec.com/enterprise/security_response/weblog/2007/09/new_prime_minister_new_trojan.html

■福田新首相をかたるウイルスメールがさっそく出現(IT Pro 2007/9/25)
http://itpro.nikkeibp.co.jp/article/NEWS/20070926/282955/?ST=security

■2006年上半期データセキュリティ総括(日本エフセキュア株式会社, 2006/6/30)
http://www.f-secure.co.jp/news/200606301/

「3322.org」は、中国の無料ホスト・サービスです。誰でも、「3322.org」に自由なホスト名を登録することができ、そのホスト名を任意の指定したIPアドレスに向けるサービスです。他にも、「8866.org」、「2288.org」、「6600.org」、「8800.org」、「9966.org」など同様のサービスがあります。Eメールを入力したWord文書の出先に疑いを感じる場合は、自社のゲートウェイ・ログをチェックし、どのようなトラフィックがあるかを確認することを推奨します。

■Free VPN account in UK,3/10(A Web Resource Seeker, 3/10)

http://www.iwebseeker.com/free-vpn-proxy/free-vpn-account-in-uk-3-10-2008/

メールの送信元として使用される可能性があるIPアドレス(予想:上記リストから関連しそうなものをピックアップ)

61.116.84.199

66.186.35.205
66.186.59.162
66.186.59.165
66.186.59.170
66.186.59.180
66.186.59.190
66.186.59.194
66.186.59.200
66.186.59.210
66.186.60.194
66.186.61.18
66.186.61.20

67.43.158.125
67.198.195.67
67.198.192.77
67.228.31.80
67.228.31.81
67.228.31.82
67.228.31.83
67.229.127.27

74.86.2.219
74.86.61.224
74.86.61.225
74.86.61.226
74.86.61.227
74.86.88.16
74.86.88.17
74.86.88.18
74.86.88.19
74.86.88.20
74.86.90.64
74.86.90.65
74.86.90.66
74.86.100.61
74.86.177.64
74.86.177.65
74.86.177.66
74.86.177.67
74.86.190.112
74.86.190.113
74.86.190.114
74.86.190.128
74.86.190.129
74.86.190.130
74.86.190.168
74.86.190.169
74.86.190.170
74.222.130.115
74.222.189.7

84.18.200.200
84.18.200.203
84.18.200.204
84.18.200.207
84.18.200.210
84.18.200.211
84.18.200.212

89.145.80.1
89.145.80.2
89.145.80.3
89.145.80.4
89.145.80.5
89.145.80.6
89.145.80.7
89.145.80.8
89.145.80.9
89.145.80.10
89.145.80.11
89.145.80.12
89.145.80.13
89.145.80.14
89.145.81.1
89.145.81.2
89.145.81.3
89.145.81.4
89.145.81.5
89.145.81.6
89.145.81.7
89.145.81.8
89.145.81.21
89.145.81.22
89.145.81.23
89.145.81.24
89.145.81.25
89.145.81.31
89.145.81.32
89.145.81.33

209.11.242.91

210.245.219.250

※リストは網羅的ではありません。また、これらのアドレスから送信されたメールが全て危険というわけではありません。

カテゴリー: 情報セキュリティ タグ:
  1. コメントはまだありません。
  1. トラックバックはまだありません。

CAPTCHA