トレンドマイクロでは、2014年に確認した日本国内における「標的型サイバー攻撃」に関しての分析を行いました。この分析では標的型サイバー攻撃を、「初期潜入」から「端末制御」までの「侵入時活動」と、「情報探索」から「情報送出」に至るまでの「内部活動」の2段階に分けて、その傾向を明らかにしています。
図1:標的型サイバー攻撃の攻撃段階概念図
- 「侵入時活動」の傾向
標的型サイバー攻撃で使用された不正プログラム、特に外部からの遠隔操作に使用される遠隔操作ツール(RAT)の分析から、その活動傾向を明らかにしました。2014年には「水飲み場型攻撃」や「正規ソフトウェアの侵害」など新たな攻撃手法での攻撃も確認されています。しかし、侵入時活動で使用される攻撃手法は、依然として標的型メールが中心と考えられます。
標的型メールにおいては、標的となる受信者をだますソーシャルエンジニアリングの巧妙化が進んでいます。特に新しい手法は確認されていませんが、実行形式ファイルを文書形式ファイルと誤解させ、受信者によって添付ファイルを開かせようとする試みが、活発に見られています。
また、添付ファイルを開かせた後の RAT による攻撃者との通信においては、日本国内に遠隔操作用の C&Cサーバが設置される事例の割合が前年(2013年)比 7倍に急増しました。また、これらの国内の C&Cサーバのほとんど(94%)は改ざんされた正規サイトに設置されたものでした。
- 「内部活動」の傾向
侵入成功後の内部活動では、正規ツールや標準コマンドを利用する正規活動への偽装が継続されています。正規ツールやコマンドは一般ユーザや管理者による使用もあり得るため、単体のイベント発生を追うだけではほとんどがノイズ化し、思うような可視化効果は得られません。このような内部活動に対しては、攻撃手法をシナリオ化し、それに沿った挙動の相関の観点で監視する手法が効果的です。
また、IT管理者が行うさまざまな設定に便乗する手口も確認しています。特にクライアントやサーバの管理のために設定されるログオンスクリプトやサーバのバッチ処理などを改ざんし、様々な処理が行われるタイミングに自身の活動を紛れ込ませて隠ぺいする巧妙な手法を確認しています。また、システムログを収集して調査に利用する対策の裏をかき、ログの保全のタイミングで削除や改ざんを行う巧妙な手口も確認しています。このような巧妙な活動に対しては、ネットワーク上の挙動監視に加え、クライアント/サーバ内での挙動監視を行う必要性が高まっています。
- 今後あるべき対策
攻撃者は活動の発覚を避けて常に攻撃を変化させていきます。1つの効果的な対策が確認されたとしても、その対策のみに固執していてはいつか攻撃者に回避されてしまいます。このような変化を続ける標的型サイバー攻撃に対応していくためには、実際の攻撃で行われた活動を把握し、専門家の分析から脅威対策の知見(スレットインテリジェンス)化して個々の挙動の相関を基にした対策を継続して進化させていくことが、最も重要です。
この分析の詳細については、以下よりレポートをダウンロードしてご一読ください。
「国内標的型サイバー攻撃分析レポート・2015年版」
http://www.go-tm.jp/apt2015
 |