トレンドマイクロは3月27日、2013年の国内での持続的標的型攻撃(Advanced Persistent Threat:APT)の分析レポートを公開した。正規の動作や通信に偽装し攻撃を“隠蔽”する傾向が見られたという。
APTでの感染後の内部活動は明らかになっていない部分が多く、トレンドマイクロでは、インシデント対応や日常的なネットワーク監視の取り組みを通じ、APTの内部活動の可視化を進めている。今回のレポートでは新たに明らかになった内部活動が解説されている。
標的型メールの送付では、標的内の関係者と複数回のメールのやり取りを行った後、不正プログラムを送付する“やり取り型”の標的型攻撃が複数確認された。
APTに使用された100の遠隔操作ツールを調査したところ、不正プログラムが攻撃者からの指示を受け付ける、外部の“コマンド&コントロール(C&C)”サーバと通信する際には67%がホスト名を正規のサービスに偽装していたことが明らかになっている。
侵入時の攻撃が成功した後、内部のネットワーク探索や目的の情報を窃取するための活動では、トレンドマイクロがネットワーク監視を行った100件のうち49件で遠隔操作ツールの活動が確認され、49件すべてでシステム管理者が使う(遠隔管理の「PSEXEC」などの)正規ツールやWindows標準のコマンドを利用し攻撃を隠蔽する傾向がみられた。
APTでは、攻撃者は事前に標的組織を入念に調査し、セキュリティソフトで検知されないことを確認してから攻撃を仕掛けてくる。そのため、ウイルス対策や不正サイトへのアクセスを防止する対策に加えて、自組織ネットワーク内の挙動を分析し攻撃を可視化する対策が必要とされる。
トレンドマイクロではネットワーク監視サービスを通じ、専任の担当者の調査で、これまでは明らかにされていなかった攻撃者による内部活動の実態把握が進んでいるという。
同社によると、2013年の100件の調査から、同一調査対象でファイル転送やリモート実行、痕跡消去のうち2つ以上の挙動が確認された場合、必ずAPTが行われていることがわかったとしている。単体では不正と判断しきれない挙動も、相関的に分析することで可視化の対策をより有効に進められるという。