メーカーズボイス

メーカー担当者を直撃!生の声をお届けします。

標的型攻撃に複合的対策を、トレンドマイクロが呼びかけ

トレンドマイクロが、標的型サイバー攻撃の現状を解説するセミナーを開催。

トレンドマイクロは、標的型サイバー攻撃の現状を解説するセミナーを6月25日に開催。2017年の標的型サイバー攻撃は前年比で減少しているが、攻撃はさらに巧妙さを増していることが明らかとなった。

[2018年 7月23日公開]

報道は少なかったものの、攻撃内容は巧妙化

標的型攻撃に関する報道が多かった2016年に比べ、2017年は標的型攻撃に関する報道は少なかった。

「報道の少なさからは標的型攻撃は鎮静化したように見える。しかし、当社が行っている監視からは沈静化しているとはいえない。26.0%の法人組織から標的型サイバー攻撃で利用されるRAT(遠隔操作ツール、Remote Access Tool)による活動が確認できる。1法人に月平均35万6,514件のアラートが上がる中で、標的型サイバー攻撃の疑いがあるものはわずか0.2%だ。割合は少ないものの、RAT種別を見ると94%が内部活動で正規ツールを利用している。つまり、内部活動で正規ツールを使って活動隠蔽(いんぺい)をしている」(トレンドマイクロ セキュリティエバンジェリスト 岡本 勝之氏)

岡本氏が指摘する「正規ツールを利用した攻撃の隠蔽」とは、正規通信に紛れ込ませて攻撃を行うもので、利用するツールもWindows標準機能や通常のシステムで使われているツールを利用して認証情報を窃取するようなものを指している。通常のシステムの中で当たり前に使われているものだけに、発見がさらに難しくなる。

正規の活動を隠れ蓑(みの)にした内部活動が圧倒的に

日常のシステムに使われるツールを利用し攻撃が巧妙化

サイバー攻撃に使われるC&Cサーバーの多くがクラウドサービスに設置されている。トレンドマイクロの調査では、クラウド、ホスティング、仮想専用サーバーといった正規サービス上に設置されたC&Cサーバーが全例の83.3%となった。不正コードを正規プロセスの一部として実行するDLLインジェクションやDLLプリロードなど、正規プロセスに寄生する形態で活動を行うため、監視、調査では発見が困難となっている。

「表面上はあってもおかしくないプロセスになるので、どれが悪いものなのかを見極めるのが難しい。Windowsのタスクマネージャーを使って裏で動いているものを表示することになるが、表面上はWindowsの標準の、普段動いていてもおかしくないものであるため、悪意があるもの探すのは、もう一段深い分析が必要となる」(岡本氏)

また、Windows標準で使用できるPowerShell、Jscript / VBScriptなどを利用しているため、表面上は正規プロセスのみに見えるのも問題を複雑化している。実行内容はログに残らず、実行スクリプトを特定しない限りは活動内容が不明となるからだ。また、RAT本体を実行可能なファイルとして保存しないことで、検出、解析を困難化する手口も出てきている。

疑わしい兆候については、法人組織の71%でサイバー攻撃の疑いがある内部活動が確認できる。気がつきにくい内部活動の代表的なものが、ファイル転送、Remote実行、痕跡消去となっている。こうしたことを実現する製品については、C&C向けRESTful API、グレーのログをサポートするスマートエージェントセンサー、STIX出力による未知の脅威に対するセキュリティ解析など、既にSOCとの親和性が高い製品も存在する。

不正コードを正規プロセスの一部として実行

“点”ではなく、“線”で内部活動を追うことが対策のポイント

では巧妙化する標的型サイバー攻撃から自社を守っていくために、企業はどんな対策を取ればよいのか。

「内部活動を、『点』ではなく、『線』で追うことが大事。代表例がファイル転送、リモート実行、痕跡消去。単体では悪い活動かどうかが見抜きづらいが、追っていくことで疑いがある活動が複数見つかってくる場合がある。複数の疑いがある活動は、怪しいと考えられる。実際に調べてみるとRATが見つかるケースが多い。複数の活動から攻撃の可能性を見極める。サイバー攻撃を見つける。点では分からないことを線で追っていく」(岡本氏)

標的型サイバー攻撃は、脆弱性を狙った攻撃のように防ぐべきポイントが絞り込みにくい。相手の攻撃も長期間にわたることが多いことから、根気よく対策を取っていくことが必要となる。

基本となる侵入防御として、標的型メール、Web経由での脅威検出、侵入時に使用される不正ファイルの検出は引き続き行っていく。さらに、正規の活動に隠蔽された攻撃を可視化していくため、端末上での不審な挙動の検出、遠隔操作や内部活動の通信をネットワーク上で検出する。企業内では大量のアラートが毎日届いているが、その中から攻撃の痕跡を点ではなく線で分析し、本当の攻撃を見つけ出し、被疑端末への対応、さらなる攻撃の抑止、影響範囲の特定といった手を打っていくことを推奨している。

岡本氏は、「まず、侵入段階で止めることが重要。ただし、そこが100%防ぎ切れていない。侵入前提の対策が必要。内部対策が重要になってくる。標的型攻撃ではより巧妙で、高度な手法が使われるようになっている。一部のところで使われていた高度な手法があちこちで使われるように一般化している。巧妙化する標的型攻撃に対抗するには、複数の技術で見つけていかないとならず、一つで全部カバーできるというものはない。成果が上がっているものとしてネットワーク監視がある。導入している企業もあるが、残念ながら全部の企業が取り入れているものではない」と、複数の対策で巧妙化する標的型攻撃に対抗することを呼びかけている。

内部活動を点から線で追うことがカギ

標的型サイバー攻撃には複数対策で対応

  • *本記事中に記載の肩書きや数値、社名、固有名詞、掲載の図版内容等は公開時点のものです。

記事と関連するソリューション・製品

  • 標的型メール攻撃に備える 標的型メール訓練サービス

    「標的型メール訓練サービス」とは、標的型攻撃を模擬した訓練メールを従業員の皆様に送信することで、攻撃型メールへの対応力を身につけていただく啓発教育サービスです。

  • トレンドマイクロ Cloud Edge

    クラウドや他製品との連携で機能を高めるUTM製品です。被害が増大しているランサムウェアだけでなく、ファイアウォールや端末のウイルス対策では防げなかったサイバー攻撃を防御します。

まずはお気軽にご相談ください。

製品の選定やお見積りなど、100万社ものお客様に支えられた多数の実績でお客様のお悩みにお応えします。まずはお気軽にご相談ください。

お電話でのお問い合わせ

【総合受付窓口】
大塚商会 インサイドビジネスセンター

0120-579-215(平日 9:00~17:30)

Webでのお問い合わせ

お問い合わせ

*メールでの連絡をご希望の方も、お問い合わせボタンをご利用ください。

ページID:00150324