標的型攻撃による遠隔操作も再現、ファイア・アイがデモを披露 - (page 2)

吉澤亨史

2013-08-12 07:30

 標的型攻撃では、標的を入念に調査していることも特長だ。標的型メールは標的の周囲にいる実在の人物から届き、メールの署名も同じものが使われている。小澤氏は実際に標的型攻撃に使用されたメールを紹介し、これでは標的が開いてしまうのも無理はないとした。特に、添付ファイルを開くことが仕事である人事部はひとたまりもない。また、ニューヨーク・タイムズの事例に対応したウイルス対策メーカによるコメントも紹介した。それは「シグネチャベースのアンチウイルスソフトウェアを有効にするだけでは十分ではない」というものだった。現実には、ウイルス対策ソフトで止められる標的型攻撃は50%に満たないという。


ファイア・アイのシステムエンジニアである山下慶子氏

 続いて、同社のシステムエンジニアである山下慶子氏が、標的型攻撃のデモを行った。これは、攻撃者と標的側のシステムを仮想的に構築し、標的型攻撃を再現するというもの。山下氏はデモの見どころとして、「攻撃を作成するのはどれだけ難しいのか」「ユーザーは感染に続くことができるか」を挙げた。まずは標的に対して、本文にリンクが設定されたメールを送信する。リンクは、表記と異なる悪意あるサイトにジャンプするように設定を行う。


デモンストーレションシナリオ

 攻撃者のシステムでは「back track 5」というソフトを起動する。このソフトにはリモートコントロール機能があり、本来は正当な目的で使用されるものだが、容易に使用できるので攻撃者も多く使用しているという。このソフトにはホームページをまるまるコピーする機能もあり、脆弱性を悪用するサイトに標的を誘導することができる。標的側はメール内のリンクをクリックすると、悪意あるサイトに飛ばされ、ドライブバイダウンロードによりマルウェアがインストールされる。


標的型攻撃による遠隔操作のデモ

 標的側でマルウェアが実行されると、攻撃者の「back track 5」上に標的の端末が表示される。これで攻撃者は標的側のパソコンを自由に遠隔操作することが可能になる。山下氏は実際にスクリーンキャプチャと撮影したりファイルのダウンロードを行った。この間、標的側のパソコンに一切の変化はなく、標的側が気づくことはまずないだろうとした。続いて小澤氏が、実環境におけるマルウェア検知状況の解説を行った。これは実際にFireEyeを導入している顧客の管理画面を直接表示するというもの。


実際にFireEyeを導入している顧客の管理画面

セキュリティ対策製品のギャップを埋めるFireEye製品

 監視画面では、導入先の環境にあるパソコンの状況を確認できる。感染しているのみのものは黄色、C&Cサーバとの接続が確認されているものは赤で表示され、IPアドレスから端末を特定することができる。これにより管理者は即座に対応することが可能になる。また、感染している場合にはマルウェアの名称も表示されるが、名称のないものは未知のものとなる。こういった未知のマルウェアを素早く検出できることがFireEyeのメリットであるとした。


FireEyeで実現する全方位型マルウェア対策統合ネットワーク

 最後に小澤氏は、FireEyeは従来のソリューションのギャップを埋めるものであり、Webトラフィックを監視する「Web MPS」、メールを監視する「Email MPS」、そして統合管理ソリューションである「FireEye CMS」を紹介、マルウェア感染を複数のステージのいずれかで止めることが可能になるとした。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. セキュリティ

    2025年はクラウドを標的にする攻撃が増加!?調査レポートに見る、今後警戒すべき攻撃トレンド

  5. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]