標的型攻撃で利用される通信経路はポート443が40%、ポート80が30%を占め、プロトコルはHTTPやHTTPSが使用される。これらは通常の通信で使用されるため、ファイアウォールによる対策は難しい。さらに、パスワード圧縮でセキュリティ製品の検出を逃れたり、ショートカットを表示させて実態の不正プログラムは隠しファイルにする、拡張子やアイコンの偽装などを行うことも特徴だという。
C&Cサーバも世界各国で確認されており、刻々と切り替わっているという。染谷氏は実例として、2010年10月以降に発生した「Taidoor」を紹介。台湾政府を狙った、この攻撃では、検体30個、C&Cサーバ29件を使った34の攻撃を確認した。
染谷征良氏
2009年7月以降に発生した「IXESHE」では東アジアや台湾、欧州の政府近刊や電機メーカー、電気通信事業者を標的に、攻撃サンプル30件、C&Cサーバ45件を確認している。標的内部の端末をC&Cサーバ化するというケースも確認された。
染谷氏は、こういった変化し続ける標的型攻撃への対策ポイントとして、「個々の攻撃手法やツールに応じた対策は大前提」「攻撃基盤と通信の特徴に応じたアプローチは標的型攻撃対策のカギ」「攻撃手法、ツール、攻撃基盤、通信の特徴の関連性から危険を察知できる対策が必要」の3点を挙げた。
