企業ネットワーク最前線

トレンドマイクロ、標的型サイバー攻撃の傾向と対策を分析

文◎松本一郎(編集部) 2018.06.29

  • bookmark
  • Teitter
  • 印刷

トレンドマイクロ
セキュリティエバンジェリスト
岡本勝之氏

トレンドマイクロが「国内標的型サイバー攻撃分析レポート 2018年版」を公開し、解説セミナーを2018年6月25日に開催した。調査では、4組織に1組織に標的型サイバー攻撃に使われる遠隔操作ツールが侵入していることが判明した。また、攻撃の隠蔽方法はますます巧妙化しており、検知も難しくなっているという。

 
「2017年は標的型サイバー攻撃の報道はあまり行われなかったが、依然として攻撃は続いている。加えて、手口が巧妙化したため、ますます侵入されたことに気づくのが困難となっている」。セキュリティエバンジェリストの岡本勝之氏はセミナーでこのように述べた。

警察庁の発表では、標的型サイバー攻撃の侵入手段である標的型メールの攻撃は昨年に引き続き増加傾向であった。トレンドマイクロが監視サービスを行った法人組織においても、71.0%で標的型サイバー攻撃の疑いを示す内部活動が確認されたという。また、標的型サイバー攻撃に用いられるRAT(Remote Access Tool:遠隔操作ツール)の活動が確認された法人組織も26.0%あった。

4組織に1組織で、標的型サイバー攻撃に用いられるRATの活動が確認された
4組織に1組織で、標的型サイバー攻撃に用いられるRATの活動が確認された

 
「正規」を隠蔽に利用する攻撃者攻撃の巧妙化も進んでいる。「正規」のサービスやツールを利用することで、攻撃を「隠蔽」する手口が広がっており、侵入を検知することがより難しくなっているという。

例えば、RATを遠隔制御するC&C(Command and Control)サーバーの83.3%は、「正規」のクラウド事業者やホスティングサービス事業者が提供するIaaS、仮想専用サーバー(VPS)などに設置されている。そのため、「ネットワーク監視者からは、普段使われていても全くおかしくない、正規の通信をしているようにしか見えない」(岡本氏)。

C&Cサーバーの設置場所
C&Cサーバーの設置場所

 
また、社内PCなどに侵入したRATの行動を隠蔽する手法も巧妙化している。今回の調査では、RATの94.0%がPowerShell、Jscript/VBScriptなどの「正規」ツールを利用していることが判明した。表面上は、「正規」のプロセスに見えるため、RATの活動を隠蔽できる。ウィルス検出はファイルを対象に行われることの裏をかき、RAT本体はファイルとして保存せず、スクリプトに不正コードをダウンロードさせる「ファイルレス活動」も増加しているという。

RATの94.0%が正規ツールを隠蔽に使っている
RATの94.0%が正規ツールを隠蔽に使っている

 
高まるネットワーク監視の重要性このように巧妙化する標的型サイバー攻撃に対して、企業はどのように対抗していけばいいのだろうか。まずは、不審なメールを開かないように従業員に注意喚起を促すなどの入口対策が必要だ。しかし、岡本氏は「現実的にはすべての攻撃を止めることはできない」と指摘した。そのため、脅威の内部侵入を前提とした対策が必要になる。

具体的には、侵入したマルウェアなどの内部活動の疑いを指し示す兆候を相関分析し、脅威を見つけ出す。例えば、こんなケースが実際にあったという。「ファイル転送」「リモート実行」「痕跡(ログ)削除」といった1つひとつは、「正規」のユーザーでも行う操作だったが、相関分析によって短いタイムライン上で連続して実行されたことが分かった。そこで調査したところ、不正なプログラムの検出に成功したという。

また、「現時点では社内ネットワーク内部を監視している企業は多くはないが、ネットワーク監視を行わないと記録されないログもある」とも岡本氏は指摘。端末だけでなく、ネットワーク側の情報もあわせて相関分析することが重要だと強調した。

スペシャルトピックスPR

nttcom1906sp
saxa1906
NTTコムウェア1906

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】キャリアネットワークの
   メガトレンド
●5Gを4つのキーワードで解説 ●通信インフラは「共有」する  ●基地局は持ち運ぶ時代へ ●ネットワーク機器の機能分離が加速 ●ゲームチェンジの引き金を引くO-RAN ●5G網はSRv6で一筆書き

●[インタビュー] クアルコムジャパン 須永順子社長「5Gの1年前倒しに大きな意義。ローカル5Gを工場へ積極提案」 ●スマホ内線化で働き方を変える ●埼玉県飯能市が“IoT罠”で獣害対策 ●ネットワン「サブスク拡大」の理由 ●IoTを導入しない企業は5年以内に脱落? ほか

>>詳しい目次を見る

ホワイトペーパー

スペシャルトピックス

インテルキャリア網もクラウドネイティブへ
5G革命を推進するインテル

インテルが5G時代の新NW実現に向けた取組みを加速させている。

エクストリームネットワークスWi-FiとIoTをAIが自動で管理
10万人のスタジアムに搭載

「Smart OmniEdge」がネットワークエッジのトラブルから解放する!

NTTコミュニケーションズeSIMを本格提供! 垂直統合で企業のIoT活用を支えるNTT Com

国内MVNO初のリモートプロビジョニング対応eSIMサービスも提供開始

サクサキャリア網の利用で高い通話品質
スマホ2台までお試し導入も!

サクサのビジネスホンなら、スマホ内線が途切れない! 使い勝手も◎!
NTTコムウェアスマホ内線で高い通話品質を実現!

交換機開発のノウハウを活かしたNTTコムウェアのクラウドPBXは、高い安定性や優れた通話品質が特徴

日本シエナコミュニケーションズ光伝送網の能力はもっと引き出せる
目指すは“どこでも400G”の世界

シエナが1波800Gbps伝送を可能にする新世代チップを発表した。

KCCS加速し続けるSigfoxの「今」
人口カバー率は94%を突破

グローバルでも年末には70カ国・1300万回線に拡大見込みだ。

専門人材が24/365で対応するMSS
最新鋭のSOCで途絶なく脅威を監視

次世代FWなどのセキュリティ機器は「設置しておしまい」ではない。

ケーエムケーワールド最大2.7Gbpsの次世代FW
100名以下の企業で採用が増加!

NISG3000は様々なセキュリティ対策が詰まったオールインワン型

ジュニパーネットワークス"クラウドが遅い"をSD-WANで解消
ブレイクアウトの課題とは?

クラウドの「体感品質」にフォーカスしたジュニパーのSD-WAN

シングテル海外拠点網“SD-WAN化”の注意点とは?

グローバルキャリアに聞く回線選びの重要性

ソニービズネットワークス“ひとり情シス”でも心配なし!
SD-WAN始めるならマネージド型で

SD-WAN導入に悩みを抱えるIT担当者に最適なマネージドSD-WAN

マクニカネットワークス高精度にアプリ識別可能なSD-WAN
速度も最大10倍以上に高速化

Silver PeakのSD-WANは「正確で速い」という強みを持つ。

ハカルプラス後付け簡単&低コスト! 5km飛ぶLoRa無線機で始める設備のIoT化

IoT導入時のハードルをぐっと下げる、ハカルプラスの「LoRa無線機」

アクセスランキング

tc1904
kaden
softbankworld2019

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2018 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます