企業ネットワーク最前線

トレンドマイクロ、標的型サイバー攻撃の傾向と対策を分析

文◎松本一郎(編集部) 2018.06.29

  • bookmark
  • Teitter
  • 印刷

トレンドマイクロ
セキュリティエバンジェリスト
岡本勝之氏

トレンドマイクロが「国内標的型サイバー攻撃分析レポート 2018年版」を公開し、解説セミナーを2018年6月25日に開催した。調査では、4組織に1組織に標的型サイバー攻撃に使われる遠隔操作ツールが侵入していることが判明した。また、攻撃の隠蔽方法はますます巧妙化しており、検知も難しくなっているという。

 
「2017年は標的型サイバー攻撃の報道はあまり行われなかったが、依然として攻撃は続いている。加えて、手口が巧妙化したため、ますます侵入されたことに気づくのが困難となっている」。セキュリティエバンジェリストの岡本勝之氏はセミナーでこのように述べた。

警察庁の発表では、標的型サイバー攻撃の侵入手段である標的型メールの攻撃は昨年に引き続き増加傾向であった。トレンドマイクロが監視サービスを行った法人組織においても、71.0%で標的型サイバー攻撃の疑いを示す内部活動が確認されたという。また、標的型サイバー攻撃に用いられるRAT(Remote Access Tool:遠隔操作ツール)の活動が確認された法人組織も26.0%あった。

4組織に1組織で、標的型サイバー攻撃に用いられるRATの活動が確認された
4組織に1組織で、標的型サイバー攻撃に用いられるRATの活動が確認された

 
「正規」を隠蔽に利用する攻撃者攻撃の巧妙化も進んでいる。「正規」のサービスやツールを利用することで、攻撃を「隠蔽」する手口が広がっており、侵入を検知することがより難しくなっているという。

例えば、RATを遠隔制御するC&C(Command and Control)サーバーの83.3%は、「正規」のクラウド事業者やホスティングサービス事業者が提供するIaaS、仮想専用サーバー(VPS)などに設置されている。そのため、「ネットワーク監視者からは、普段使われていても全くおかしくない、正規の通信をしているようにしか見えない」(岡本氏)。

C&Cサーバーの設置場所
C&Cサーバーの設置場所

 
また、社内PCなどに侵入したRATの行動を隠蔽する手法も巧妙化している。今回の調査では、RATの94.0%がPowerShell、Jscript/VBScriptなどの「正規」ツールを利用していることが判明した。表面上は、「正規」のプロセスに見えるため、RATの活動を隠蔽できる。ウィルス検出はファイルを対象に行われることの裏をかき、RAT本体はファイルとして保存せず、スクリプトに不正コードをダウンロードさせる「ファイルレス活動」も増加しているという。

RATの94.0%が正規ツールを隠蔽に使っている
RATの94.0%が正規ツールを隠蔽に使っている

 
高まるネットワーク監視の重要性このように巧妙化する標的型サイバー攻撃に対して、企業はどのように対抗していけばいいのだろうか。まずは、不審なメールを開かないように従業員に注意喚起を促すなどの入口対策が必要だ。しかし、岡本氏は「現実的にはすべての攻撃を止めることはできない」と指摘した。そのため、脅威の内部侵入を前提とした対策が必要になる。

具体的には、侵入したマルウェアなどの内部活動の疑いを指し示す兆候を相関分析し、脅威を見つけ出す。例えば、こんなケースが実際にあったという。「ファイル転送」「リモート実行」「痕跡(ログ)削除」といった1つひとつは、「正規」のユーザーでも行う操作だったが、相関分析によって短いタイムライン上で連続して実行されたことが分かった。そこで調査したところ、不正なプログラムの検出に成功したという。

また、「現時点では社内ネットワーク内部を監視している企業は多くはないが、ネットワーク監視を行わないと記録されないログもある」とも岡本氏は指摘。端末だけでなく、ネットワーク側の情報もあわせて相関分析することが重要だと強調した。

スペシャルトピックスPR

necaspire
1810yamaha
1810watchguard

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】エッジコンピューティング最新案内
<Part1>モバイルキャリアが描くエッジ活用 <Part2>NTT東日本のエッジ拠点に潜入 <Part3>MEC標準化の最新動向 <Part4>AWSとAzureのエッジコンピューティング戦略 <Part5>製造業IoTを加速するEdgecross <Part6>エッジコンピューティングを支えるネットワーク

[インタビュー] ●ネットワンシステムズ 荒井透社長COO 
[ビジネス最前線]●SD-WAN×セキュリティで攻勢/●Ubiquitiが仕掛ける価格破壊 [技術&トレンド]●気づかぬ間に給電 [商品特集]●ネットワーク監視/●次世代FW

>>詳しい目次を見る

ホワイトペーパー

スペシャルトピックス

ゾーホージャパン低価格フローコレクターで
シスコ機器を使い倒そう!

シスコ機器が備えるNetFlowやIP-SLAを活用し、きめ細やかな監視を!

リバーベッドテクノロジーアプリの体感品質を可視化 そのトラブル解決に留まらない効果とは?

「SaaSのレスポンスが遅い」。IT部門の悩みをリバーベッドで解消!

ライトL3スイッチ「SWX3100-10G」行き詰まる小規模NWを変革しよう

高価なレイヤ3スイッチには手が出ないが……。そんな悩みに、新たな選択肢をヤマハが提供する。

IntelligentAVAIエンジンで未知の脅威も自動検知

ウォッチガードのUTMに、マシンラーニングでマルウェアを検知する「IntelligentAV」機能も加わった。

Gigamon通信事業者での採用実績多数!
セキュリティ機器コストも大幅削減

今注目のネットワークパケットブローカー。そのNo.1メーカーとは?

PRTG Network Monitorネットワーク監視を簡単スタート!

NW監視の重要性は分かっているが、人材も予算も不足――。そんな企業に知ってほしいのが「PRTG」だ。

Big Switch Networksウンザリする運用管理とサヨナラ

大量のスイッチを個別に設定・管理する従来型NW運用を、Big Switch NetworksのSDNで革新しよう!

ユニアデックス次世代のネットワーク運用とは?

先進企業はもう始めている「Big Cloud Fabric」によるネットワーク運用変革を事例に学ぶ。

リボン・コミュニケーションズ多様なリアルタイムコミュニケーションでシームレスな通信を実現!

SBCを強みとする2社が合併して誕生したリボン・コミュニケーションズ

SAS Institute Japanデータ解析、もうやり尽くしたと思うのはまだ早い

さらなる品質改善やコスト削減を実現したあの先進企業とは?

潜伏する脅威をAIが検知!
産業用制御システムやIoTも守備範囲

日商エレクトロニクスのセキュリティ対策が“新ステージ”に突入する!

リボン・コミュニケーションズTeamsの電話機能にいち早く対応
UCを狙ったサイバー攻撃対策も

Microsoft TeamsとPSTNをつなぐリボン・コミュニケーションズ

UNIVERGE Aspire WX電話やUC機能を全方位にカバー
中小企業の多様な働き方を強力支援

NECが5年ぶりの中小向けキーテレフォン「UNIVERGE Aspire WX」

F5ネットワークスセキュリティやGi-LAN仮想化など
モバイルインフラの強化に貢献

5G移行を控えた今、F5ネットワークスはどんな価値を提供できるのか?

アクセスランキング

tc1809
compass

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2018 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます