2012年、日本国内の持続的標的型攻撃を分析 ~自組織に有効な対策を行うには~

トレンドマイクロは、2012年日本国内における「持続的標的型攻撃(Advanced Persistent Threats、APT)」に関する年間分析と分析の結果に基づいた対策をまとめたレポートを公開しました。


本レポートでは、2012年にかけてトレンドマイクロの日本国内に特化したリサーチ機関である「リージョナルトレンドラボ」が収集、分析した持続的標的型攻撃のサンプルを基に統計データをまとめています。また、よりプロアクティブな脅威動向分析を行う「フォワードルッキングスレットリサーチ」、顧客のネットワーク環境においてセキュリティ脅威を監視・分析する「スレットモニタリングセンター」などの専門機関のリサーチャによる、複数の視点からの持続的標的型攻撃に関する調査・分析の結果を報告しています。

他のサイバー攻撃と比較して持続的標的型攻撃を特色付けているのは、攻撃者が特定組織に標的を明確に定め、情報窃取という攻撃目的の達成まで、執拗に攻撃を繰り返し続けることです。また、攻撃の手法は、標的の環境に合わせて変えられるため、1つの対策によって防御し続けることは困難です。

2012年、トレンドマイクロが確認した日本国内の持続的標的型攻撃の傾向と実態を分析した結果、「継続」、「隠蔽」、「変化」というこれらの 3つの特性を持った攻撃が引き続き行われていることが明らかになりました。

  • 「継続」
     ・2009年から国内組織を標的にしている特定攻撃者グループが複数の攻撃で 2012年も継続して活動していることを確認。
     ・攻撃者が、同じ攻撃基盤(C&Cサーバ)を利用しながら、従来とは別の異なるバックドア型不正プログラムで攻撃を継続していたことを確認。
  • 「変化」
     ・従来過半数以上を占めていた、標的型攻撃メールに添付した文書ファイルの脆弱性を悪用する攻撃が下半期にかけて大きく減少。特に PDFファイルの脆弱性を悪用する攻撃は、上半期 19%から下半期 2.5%に減少。
     ・攻撃に使われたバックドア型不正プログラムの通信手法では、年間を通じ Web閲覧に使われるポートを多用。上半期は、80番ポート上で HTTPプロトコルを用いた通信が最も多かったが、下半期は、443番ポート上で独自プロトコルを用いた通信を最も多く確認。
  • 「隠蔽」
     ・正規の運用ツールを悪用し、管理者の作業であるかのように攻撃を隠蔽した事例を確認。
     ・標的組織内のサーバ情報を攻撃用のバックドア型不正プログラムにあらかじめプログラムし、正規の業務通信に隠蔽した事例を確認。

    • このような特性を持つ持続的標的型攻撃を検知し、自組織において有効な対策を行うためには、不正プログラムによる攻撃自体は目的達成のための手段に過ぎないことを認識し、不正プログラムの動作から見える直接の脅威に加えて、攻撃の中で最も重要な要素である攻撃者のふるまい、すなわち複数の攻撃の連なった一連の活動を分析することが不可欠です。

    本レポートでは、次の 3つの観点から、2012年の国内における持続的標的型攻撃の全体像、個々の攻撃の具体的な脅威動向、攻撃を受けた標的組織側の実状を把握します。 またこの分析により、持続的標的型攻撃への理解を深め、有効な対策を組み立てるためのスレットインテリジェンス-「セキュリティ脅威全体を理解するために必要なすべての情報、およびそれによって生み出された知見」を提供します。

    1. 攻撃者を理解する
      プロアクティブな脅威分析として、2012年国内の組織に対して送られた標的型メールを解析し、その共通項から、攻撃者をグルーピングし、彼らの特性を蓄積することで、次に行われる攻撃の予測や対策指針の具体的な検討に役立てられることが分かりました。このようなアプローチを進め、攻撃者グループを特定し、各攻撃段階における特徴を明らかにすることができれば、自らの組織を狙う攻撃者グループの特徴に合わせた的確な対策を施すことが将来的に行える可能性があります。
    2. 攻撃手法を理解する
      2012年日本国内で収集した持続的標的型攻撃で使用された不正プログラムを分析することで、攻撃の「初期潜入」段階における攻撃手法の最新の変化を捉えています。さらに、攻撃に用いられた特徴的なふるまいを行うバックドア型不正プログラムを詳細に解析することで、持続的標的型攻撃のみならず、組織内のネットワーク上で不正活動を行うサイバー攻撃への実践的な対策を検討しています。
    3. 攻撃の実状を学ぶ
      ネットワーク内のセキュリティ脅威の監視・分析の専門家として、これまでに対応した持続的標的型攻撃のインシデント事例を元に、隠蔽された攻撃を検知するためのポイントと、有効な対策を実現するための運用のポイントを解説します。

    最新の攻撃傾向を分析し、そこから得られる知見を元に対策の方向性を提案する本レポートの内容が、持続的標的型攻撃はもちろんのこと、広く企業や組織に被害を及ぼすサイバー攻撃への正しい理解を深め、実践的な対策を検討する上での一助となれば幸いです。

    詳細については、以下からレポートをダウンロードしてご一読ください。

  • 2012年国内における持続的標的型攻撃(APT)の分析 ~実践的対策へのアプローチ~
     https://inet.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=81

    • 2012年国内における持続的標的型攻撃(APT)の分析 ~実践的対策へのアプローチ~

    関連記事:

  • セキュリティブログ:
     ・2012年上半期国内における持続的標的型攻撃の傾向レポートを公開
      /archives/5812

    • Related posts:

    1. 正規サイトを“不正サイト”へと変貌させるWebサイト改ざん
    2. マルウェア解析の現場から-05 「This program…」
    3. 「クリックしないとデータを消すよ」 日本語で警告する不正プログラム
    4. 「タコイカウイルス」作者に実刑判決