トレンドマイクロの「2013年のセキュリティ予測」では、「不正プログラムは、大きな変化をすることなく、徐々に進化していく」のみであることを予測しました。このことは、持続的標的型攻撃で利用される攻撃ツール(もしくは正規のツールを悪用する場合)において確認することができます。
ここでの問題は、攻撃ツールが、セキュリティソフトによって常に検出されるわけではないこと、また少なくとも論理的な問題や法的な問題により、検出されないグレイウェアとして存在する場合があることです。残念ながらこのことは、持続的標的型攻撃のフォレンジック調査における検知の可能性が低くなることを意味します。さらに攻撃者が、独自のツールを作成する手間を省くこともできます。
ここにいくつかの一般的な攻撃ツールを紹介します。
■どうすれば持続的標的型攻撃でこれらのツールが使われていることを識別できるのでしょうか?
「TrendLabs(トレンドラボ)」では、管理者権限の取得や重要文書の収集のために、これらのツールが持続的標的型攻撃において利用されるのを確認しています。では、IT管理者や権限を持ったユーザは、これらのツールを利用する持続的標的型攻撃を識別するために、この情報をどう活用することができるでしょうか。
セキュリティ研究者と同様に、ユーザやセキュリティ管理者は、異なる視点から標的型攻撃について理解することによって、これらの脅威により対抗するための力をつけることになります。今回の事例では、持続的標的型攻撃のコンポーネントに注目し、「どこ」で「何」を探すべきかを知ることで既知の攻撃を調査する際の視野を広げることができます。
トレンドラボは、諜報活動目的より、破壊活動を目的とする攻撃の増加を予測していると報告しています。また、言語や地理的条件など、特定の状況に特化した攻撃の増加も予測しています。
参考記事:
by Roland Dela Paz (Threat Researcher)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)