編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

2017年のサイバー攻撃は手がかりを「消す」--メモリ常駐型マルウェアへの対策:Kaspersky

NO BUDGET

2016-12-01 07:00

 Kaspersky Labのグローバル調査分析チームGReATは11月16日、年次のサイバー脅威動向レポート「Kaspersky Security Bulletin」を公開した。2017年のサイバー脅威の傾向と予測を次の通りまとめたもので、2017年には新種のマルウェアなどの攻撃があったシステムついて、その脅威が存在することを示す「脅威存在痕跡」(Indicators of Compromise:IOC)の信頼性が低下し、調査の手掛かりが減少するとした。同社日本法人が11月22日、抄訳で伝えた。

 今回のレポートでは、現状でのサイバー脅威の傾向として、これまでマルウェアの特徴を共有し感染を検知する有効な手段であったIOCについて、その信頼性を低下させる状況が生じてきていると指摘している。GReATの分析によると、2016年に発見した標的型攻撃を行う犯罪グループ「ProjectSauron」のマルウェアプラットフォームは、すべての機能が標的ごとに変わるものであるという。これにより、IOCは別の標的を見つけ出す手段としての信頼性が低下し、「YARAルール」など別の手段との併用が必要になるとしている。なおYARAとは、悪意のあるファイル、システムまたはネットワーク上での不審な活動のパターンのうち、類似性があるものを発見するためのツール。これを利用することで、関連するマルウェアサンプルの発見、グループ化や分類によってつながりを導き出すことができる。

 そして2017年については、感染したマシンの初回の再起動で消え去るメモリ常駐型マルウェアの出現を予想している。このマルウェアの目的は感染の継続ではなく、スパイ活動と認証情報の収集であり、攻撃者は発見されることを避けるために、マルウェアを機密性の高い環境に展開する可能性があるとのこと。

 GReATのシニアセキュリティエキスパート、ファン・アンドレス・ゲレーロサーデ氏は、以下のようにコメントしている。

 「こうした傾向は犯罪者側からすると飛躍的な進歩ではありますが、セキュリティ業界には打つ手があります。それは品質の高いYARAルールの採用です。リサーチャーはYARAルールを活用することで、企業の隅々にまでスキャンを実施し、休止中のバイナリの特徴を検査・特定するとともに、マシンのメモリをスキャンして既知の攻撃の断片を探し出すことが可能になります」

 その他の傾向、予測を含む全文はこちらから入手できる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]