正規の通信を偽装して攻撃を隠蔽--トレンドマイクロ、2013年のAPTを分析

NO BUDGET

2014-03-28 14:06

 トレンドマイクロは3月27日、2013年の国内での持続的標的型攻撃(Advanced Persistent Threat:APT)の分析レポートを公開した。正規の動作や通信に偽装し攻撃を“隠蔽”する傾向が見られたという。

 APTでの感染後の内部活動は明らかになっていない部分が多く、トレンドマイクロでは、インシデント対応や日常的なネットワーク監視の取り組みを通じ、APTの内部活動の可視化を進めている。今回のレポートでは新たに明らかになった内部活動が解説されている。

 標的型メールの送付では、標的内の関係者と複数回のメールのやり取りを行った後、不正プログラムを送付する“やり取り型”の標的型攻撃が複数確認された。

 APTに使用された100の遠隔操作ツールを調査したところ、不正プログラムが攻撃者からの指示を受け付ける、外部の“コマンド&コントロール(C&C)”サーバと通信する際には67%がホスト名を正規のサービスに偽装していたことが明らかになっている。

 侵入時の攻撃が成功した後、内部のネットワーク探索や目的の情報を窃取するための活動では、トレンドマイクロがネットワーク監視を行った100件のうち49件で遠隔操作ツールの活動が確認され、49件すべてでシステム管理者が使う(遠隔管理の「PSEXEC」などの)正規ツールやWindows標準のコマンドを利用し攻撃を隠蔽する傾向がみられた。

 APTでは、攻撃者は事前に標的組織を入念に調査し、セキュリティソフトで検知されないことを確認してから攻撃を仕掛けてくる。そのため、ウイルス対策や不正サイトへのアクセスを防止する対策に加えて、自組織ネットワーク内の挙動を分析し攻撃を可視化する対策が必要とされる。

 トレンドマイクロではネットワーク監視サービスを通じ、専任の担当者の調査で、これまでは明らかにされていなかった攻撃者による内部活動の実態把握が進んでいるという。

 同社によると、2013年の100件の調査から、同一調査対象でファイル転送やリモート実行、痕跡消去のうち2つ以上の挙動が確認された場合、必ずAPTが行われていることがわかったとしている。単体では不正と判断しきれない挙動も、相関的に分析することで可視化の対策をより有効に進められるという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]