企業ネットワーク最前線

トレンドマイクロ、標的型サイバー攻撃の傾向と対策を分析

文◎松本一郎(編集部) 2018.06.29

  • bookmark
  • Teitter
  • 印刷

トレンドマイクロ
セキュリティエバンジェリスト
岡本勝之氏

トレンドマイクロが「国内標的型サイバー攻撃分析レポート 2018年版」を公開し、解説セミナーを2018年6月25日に開催した。調査では、4組織に1組織に標的型サイバー攻撃に使われる遠隔操作ツールが侵入していることが判明した。また、攻撃の隠蔽方法はますます巧妙化しており、検知も難しくなっているという。

 
「2017年は標的型サイバー攻撃の報道はあまり行われなかったが、依然として攻撃は続いている。加えて、手口が巧妙化したため、ますます侵入されたことに気づくのが困難となっている」。セキュリティエバンジェリストの岡本勝之氏はセミナーでこのように述べた。

警察庁の発表では、標的型サイバー攻撃の侵入手段である標的型メールの攻撃は昨年に引き続き増加傾向であった。トレンドマイクロが監視サービスを行った法人組織においても、71.0%で標的型サイバー攻撃の疑いを示す内部活動が確認されたという。また、標的型サイバー攻撃に用いられるRAT(Remote Access Tool:遠隔操作ツール)の活動が確認された法人組織も26.0%あった。

4組織に1組織で、標的型サイバー攻撃に用いられるRATの活動が確認された
4組織に1組織で、標的型サイバー攻撃に用いられるRATの活動が確認された

 
「正規」を隠蔽に利用する攻撃者攻撃の巧妙化も進んでいる。「正規」のサービスやツールを利用することで、攻撃を「隠蔽」する手口が広がっており、侵入を検知することがより難しくなっているという。

例えば、RATを遠隔制御するC&C(Command and Control)サーバーの83.3%は、「正規」のクラウド事業者やホスティングサービス事業者が提供するIaaS、仮想専用サーバー(VPS)などに設置されている。そのため、「ネットワーク監視者からは、普段使われていても全くおかしくない、正規の通信をしているようにしか見えない」(岡本氏)。

C&Cサーバーの設置場所
C&Cサーバーの設置場所

 
また、社内PCなどに侵入したRATの行動を隠蔽する手法も巧妙化している。今回の調査では、RATの94.0%がPowerShell、Jscript/VBScriptなどの「正規」ツールを利用していることが判明した。表面上は、「正規」のプロセスに見えるため、RATの活動を隠蔽できる。ウィルス検出はファイルを対象に行われることの裏をかき、RAT本体はファイルとして保存せず、スクリプトに不正コードをダウンロードさせる「ファイルレス活動」も増加しているという。

RATの94.0%が正規ツールを隠蔽に使っている
RATの94.0%が正規ツールを隠蔽に使っている

 
高まるネットワーク監視の重要性このように巧妙化する標的型サイバー攻撃に対して、企業はどのように対抗していけばいいのだろうか。まずは、不審なメールを開かないように従業員に注意喚起を促すなどの入口対策が必要だ。しかし、岡本氏は「現実的にはすべての攻撃を止めることはできない」と指摘した。そのため、脅威の内部侵入を前提とした対策が必要になる。

具体的には、侵入したマルウェアなどの内部活動の疑いを指し示す兆候を相関分析し、脅威を見つけ出す。例えば、こんなケースが実際にあったという。「ファイル転送」「リモート実行」「痕跡(ログ)削除」といった1つひとつは、「正規」のユーザーでも行う操作だったが、相関分析によって短いタイムライン上で連続して実行されたことが分かった。そこで調査したところ、不正なプログラムの検出に成功したという。

また、「現時点では社内ネットワーク内部を監視している企業は多くはないが、ネットワーク監視を行わないと記録されないログもある」とも岡本氏は指摘。端末だけでなく、ネットワーク側の情報もあわせて相関分析することが重要だと強調した。

スペシャルトピックスPR

synology1907
cloudian1907
nec1907

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】5G、IoTと超高齢社会
<Part1>ローカル5Gで農業革命 <Part2>救急医療×5Gで命救う <Part3>MaaSで支える高齢社会 <Part4>ドコモが目指すSDGs
<Part5>障がい者は「先駆者」

●[インタビュー] 富士通 執行役員常務 松本端午氏「5G時代の新価値をトータル提供。インフラだけでは投資回収できない」 ●FMC対応クラウドPBX本格普及へ ●失敗しないISDN/PHS移行 ●ローカル5Gで「独走」目指すエイビット ●KDDIがHW/SW分離型ルーターを内製 ほか

>>詳しい目次を見る

ホワイトペーパー

スペシャルトピックス

MIPHS/ISDNからの移行を
「安価」かつ「手軽」に

PHSモデムの入れ替えだけで「LTE化」が完了する!

ヤマトロジスティクスキッティングから配送まで一括提供
PC移行の工程はすべてお任せ!

Windows 7の延長保守サポート終了! ヤマトなら安心して任せられる

サンテレホン何か「御用」ありませんか? 国内最大級ICT機材のECサイトが誕生

10万点の情報通信機材を取り扱うECサイト「GOYOU(ゴヨー)」

エス・アンド・アイMS Teams×電話に新たな選択肢
キャリア回線使用で通話品質も安定

SBC機能のクラウド提供も開始 “設備レス”でDirect Routing導入

ブラステルクラウドPBX市場のパイオニア
信頼性と音声品質で5万台の実績

IP電話に関する調査では3項目で1位を獲得! ブラステルの「Basix」

三通テレコムサービス“明朗会計”で人気のクラウドPBX

ユーザーが増えても基本料は最大4900円! 三通テレコムサービスの「clocall PBX」

モバイルテクノミリ波の設計・製造を強力支援
5G時代の多様なニーズに応える!

モバイルテクノがミリ波モジュール設計開発サービスを拡充した。

エクストリーム ネットワークス5万人利用のNWをわずか2名で運用
IT管理者に嬉しいWi-Fi 6対応AP

エクストリームのWi-Fi 6対応APならAI自動RF管理など機能が満載だ。

ネットスカウトシステムズNWを隅々まで可視化してDDoS対策
ボリューム型もL7攻撃も防ぎ切る!

世界最大級の監視システムATLASで全世界のDDoS攻撃を防ぎ続ける!

アクセスランキング

tc1904
banner27

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2018 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます