企業ネットワーク最前線

トレンドマイクロ、標的型サイバー攻撃の傾向と対策を分析

文◎松本一郎(編集部) 2018.06.29

  • bookmark
  • Teitter
  • 印刷

トレンドマイクロ
セキュリティエバンジェリスト
岡本勝之氏

トレンドマイクロが「国内標的型サイバー攻撃分析レポート 2018年版」を公開し、解説セミナーを2018年6月25日に開催した。調査では、4組織に1組織に標的型サイバー攻撃に使われる遠隔操作ツールが侵入していることが判明した。また、攻撃の隠蔽方法はますます巧妙化しており、検知も難しくなっているという。

 
「2017年は標的型サイバー攻撃の報道はあまり行われなかったが、依然として攻撃は続いている。加えて、手口が巧妙化したため、ますます侵入されたことに気づくのが困難となっている」。セキュリティエバンジェリストの岡本勝之氏はセミナーでこのように述べた。

警察庁の発表では、標的型サイバー攻撃の侵入手段である標的型メールの攻撃は昨年に引き続き増加傾向であった。トレンドマイクロが監視サービスを行った法人組織においても、71.0%で標的型サイバー攻撃の疑いを示す内部活動が確認されたという。また、標的型サイバー攻撃に用いられるRAT(Remote Access Tool:遠隔操作ツール)の活動が確認された法人組織も26.0%あった。

4組織に1組織で、標的型サイバー攻撃に用いられるRATの活動が確認された
4組織に1組織で、標的型サイバー攻撃に用いられるRATの活動が確認された

 
「正規」を隠蔽に利用する攻撃者攻撃の巧妙化も進んでいる。「正規」のサービスやツールを利用することで、攻撃を「隠蔽」する手口が広がっており、侵入を検知することがより難しくなっているという。

例えば、RATを遠隔制御するC&C(Command and Control)サーバーの83.3%は、「正規」のクラウド事業者やホスティングサービス事業者が提供するIaaS、仮想専用サーバー(VPS)などに設置されている。そのため、「ネットワーク監視者からは、普段使われていても全くおかしくない、正規の通信をしているようにしか見えない」(岡本氏)。

C&Cサーバーの設置場所
C&Cサーバーの設置場所

 
また、社内PCなどに侵入したRATの行動を隠蔽する手法も巧妙化している。今回の調査では、RATの94.0%がPowerShell、Jscript/VBScriptなどの「正規」ツールを利用していることが判明した。表面上は、「正規」のプロセスに見えるため、RATの活動を隠蔽できる。ウィルス検出はファイルを対象に行われることの裏をかき、RAT本体はファイルとして保存せず、スクリプトに不正コードをダウンロードさせる「ファイルレス活動」も増加しているという。

RATの94.0%が正規ツールを隠蔽に使っている
RATの94.0%が正規ツールを隠蔽に使っている

 
高まるネットワーク監視の重要性このように巧妙化する標的型サイバー攻撃に対して、企業はどのように対抗していけばいいのだろうか。まずは、不審なメールを開かないように従業員に注意喚起を促すなどの入口対策が必要だ。しかし、岡本氏は「現実的にはすべての攻撃を止めることはできない」と指摘した。そのため、脅威の内部侵入を前提とした対策が必要になる。

具体的には、侵入したマルウェアなどの内部活動の疑いを指し示す兆候を相関分析し、脅威を見つけ出す。例えば、こんなケースが実際にあったという。「ファイル転送」「リモート実行」「痕跡(ログ)削除」といった1つひとつは、「正規」のユーザーでも行う操作だったが、相関分析によって短いタイムライン上で連続して実行されたことが分かった。そこで調査したところ、不正なプログラムの検出に成功したという。

また、「現時点では社内ネットワーク内部を監視している企業は多くはないが、ネットワーク監視を行わないと記録されないログもある」とも岡本氏は指摘。端末だけでなく、ネットワーク側の情報もあわせて相関分析することが重要だと強調した。

スペシャルトピックスPR

iijglobal1806
moconavi1807
sun1807

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】NETWORK SHIFT
         DX時代の新しいネットワーク戦略とは?
●ネットワーク仮想化最前線/●AI時代のネットワーク運用/●AWSに学ぶネットワーク構築/●SD-WANの現在地/●キャリア・OTTで進むネットワークのオープン化/●ISDN&PHSの移行戦略

◆[インタビュー] OKI 坪井正志常務「社会インフラ×IoTに確信」 ◆大量接続と低遅延を両立の「次期5G NR」 ◆NTT、B2B2Xの世界展開へ

>>詳しい目次を見る

ホワイトペーパー

スペシャルトピックス

F5ネットワークスセキュリティやGi-LAN仮想化など
モバイルインフラの強化に貢献

5G移行を控えた今、F5ネットワークスはどんな価値を提供できるのか?

moconavi今いる場所がオフィスになる!
moconaviで安全なモバイルワーク

場所を問わない新しい働き方の実現には、ICT環境の整備も不可欠だ。

サンテレホンサンテレホンがICT総合展示会
ビジネス伸ばす製品群が一堂に

東京ドームシティ・プリズムホールで7月18・19日開催!

インテル5Gをエンドツーエンドでカバー
新たな価値創出を目指すインテル

インテルは強みの仮想化技術で5G時代のネットワーク構築に貢献する。

コマーチキャリア向けOSS/BSSに強み
自動化やe-ヘルスで社会課題解決

自動化やe-ヘルスで多くの実績を持つコマーチが日本市場に参入した。

ブロードメディア・テクノロジーズ小森コーポレーションが
Aryakaで日中間通信を安定化!

日系企業の中国ビジネスに立ちはだかるのが通信環境の問題だ。

IIJグローバルソリューションズ日中間ネットワークの安定運用へ
VPN規制を乗り切る解決策提供

安定的な越境通信を実現するには何が必要か?

NTTコミュニケーションズIoTビジネスの種まきから結実まで
NTT Comの「次の一手」とは

自社発行型eSIMでの新サービス提供に期待!

SAS Institute Japanデータ分析の老舗、SASが提案するIoT時代のデータ活用

IoTのはじめの一歩を踏み出す前に考えるべきポイントは?

SigfoxSigfoxが開始1年で100万回線!
いよいよ花開くIoTビジネス

LPWAの代表格「Sigfox」の最新動向と活用事例を徹底レポート!

WatchGuard Wi-Fi Cloud不正APを自動遮断するWIPS搭載!
ソーシャルWi-Fiで販促支援も

セキュアな無線LAN環境を実現できる「WatchGuard Wi-Fi Cloud」

無線LAN構築・運用のポイントをSCSKが語る

無線LANの大きなトレンドとなっている「クラウドWi-Fi」で課題解決!

ジェイピー・セキュア導入実績100万サイト以上の
国産WAF「SiteGuard」

業界最速レベルで防御機能を提供するジェイピー・セキュアのWAF製品

ライムライト・ネットワークスクラウド型WAFでWebサイトを保護

ライムライトなら、自社のCDNやDDoS対策との多層防御でオリジンサーバーを攻撃から防御できる。

Office 365ユーザは使わなきゃ損
Teamsでチームワークが劇的に!

Office 365の新ツール「Teams」を使い始める企業が続出している。

アクセスランキング

tc1807_b
56
compass

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2018 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます