標的型攻撃による遠隔操作も再現、ファイア・アイがデモを披露 - (page 2)

吉澤亨史

2013-08-12 07:30

 標的型攻撃では、標的を入念に調査していることも特長だ。標的型メールは標的の周囲にいる実在の人物から届き、メールの署名も同じものが使われている。小澤氏は実際に標的型攻撃に使用されたメールを紹介し、これでは標的が開いてしまうのも無理はないとした。特に、添付ファイルを開くことが仕事である人事部はひとたまりもない。また、ニューヨーク・タイムズの事例に対応したウイルス対策メーカによるコメントも紹介した。それは「シグネチャベースのアンチウイルスソフトウェアを有効にするだけでは十分ではない」というものだった。現実には、ウイルス対策ソフトで止められる標的型攻撃は50%に満たないという。


ファイア・アイのシステムエンジニアである山下慶子氏

 続いて、同社のシステムエンジニアである山下慶子氏が、標的型攻撃のデモを行った。これは、攻撃者と標的側のシステムを仮想的に構築し、標的型攻撃を再現するというもの。山下氏はデモの見どころとして、「攻撃を作成するのはどれだけ難しいのか」「ユーザーは感染に続くことができるか」を挙げた。まずは標的に対して、本文にリンクが設定されたメールを送信する。リンクは、表記と異なる悪意あるサイトにジャンプするように設定を行う。


デモンストーレションシナリオ

 攻撃者のシステムでは「back track 5」というソフトを起動する。このソフトにはリモートコントロール機能があり、本来は正当な目的で使用されるものだが、容易に使用できるので攻撃者も多く使用しているという。このソフトにはホームページをまるまるコピーする機能もあり、脆弱性を悪用するサイトに標的を誘導することができる。標的側はメール内のリンクをクリックすると、悪意あるサイトに飛ばされ、ドライブバイダウンロードによりマルウェアがインストールされる。


標的型攻撃による遠隔操作のデモ

 標的側でマルウェアが実行されると、攻撃者の「back track 5」上に標的の端末が表示される。これで攻撃者は標的側のパソコンを自由に遠隔操作することが可能になる。山下氏は実際にスクリーンキャプチャと撮影したりファイルのダウンロードを行った。この間、標的側のパソコンに一切の変化はなく、標的側が気づくことはまずないだろうとした。続いて小澤氏が、実環境におけるマルウェア検知状況の解説を行った。これは実際にFireEyeを導入している顧客の管理画面を直接表示するというもの。


実際にFireEyeを導入している顧客の管理画面

セキュリティ対策製品のギャップを埋めるFireEye製品

 監視画面では、導入先の環境にあるパソコンの状況を確認できる。感染しているのみのものは黄色、C&Cサーバとの接続が確認されているものは赤で表示され、IPアドレスから端末を特定することができる。これにより管理者は即座に対応することが可能になる。また、感染している場合にはマルウェアの名称も表示されるが、名称のないものは未知のものとなる。こういった未知のマルウェアを素早く検出できることがFireEyeのメリットであるとした。


FireEyeで実現する全方位型マルウェア対策統合ネットワーク

 最後に小澤氏は、FireEyeは従来のソリューションのギャップを埋めるものであり、Webトラフィックを監視する「Web MPS」、メールを監視する「Email MPS」、そして統合管理ソリューションである「FireEye CMS」を紹介、マルウェア感染を複数のステージのいずれかで止めることが可能になるとした。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]