is702

2013年、国内の標的型サイバー攻撃を分析

2014/03/27

トレンドマイクロは3月27日、同社ブログで、「2013年、日本国内の持続的標的型攻撃を分析」と題する記事を公開しました。

記事内では、トレンドマイクロが2013年に確認した日本国内における持続的標的型攻撃(標的型サイバー攻撃)に関し、「侵入時の活動」と、「内部活動」の 2段階に分け、その傾向を明らかにしています。

「侵入時の活動」では、新たな攻撃手法として「水飲み場型攻撃」の発生が国内で初めて確認されましたが、攻撃の中心はいまだ標的型メールとのことです。標的型メールについては、新手法として、受信者と数回メールのやり取りを行った後に不正プログラムを送付する「やり取り型」の攻撃が確認されたとのことです。また、添付ファイルに、日本語ファイル名や二重拡張子など、受信者を信用させたり誤解させたりすることで添付ファイルを開かせようとする試みが、活発に確認されています。

攻撃者の使用する遠隔操作ツール(RAT)の通信においては、HTTP通信などファイアウォールで制限しにくいウェルノウンポートの利用が全体の96%で確認されています。また、組織内からインターネットへ接続するためにプロキシを利用する際、ほとんどのRATがWindowsの機能を利用している傾向も明らかになりました。

侵入成功後の「内部活動」では、正規に使われるツールやコマンドの悪用、正規通信の偽装等、攻撃の隠ぺいに繋がる手口が顕著に見られています。同社のネットワーク挙動監視で確認された実際の攻撃活動では、「ファイル転送」→「リモート実行」→「痕跡消去」の流れで内部活動が行われることを確認しています。また、これらの攻撃段階の全てで正規ツールやWindows標準コマンドが使用されていました。

正規ツールやコマンドは、一般ユーザや管理者による使用もあるため、単純なツール実行の監視だけでは、思うような可視化が行えませんが、同社では攻撃の流れを踏まえた挙動の相関を基に監視や調査を進めた結果、対応の精度を大きく上げることに成功したとのことです。

トレンドマイクロでは、これらの分析詳細をレポートとして公開しています。

  • FCTV
  • mitene
FCTV
mitene