トレンドマイクロでは、2013年日本国内における「持続的標的型攻撃(Advanced Persistent Threats、APT)」に関し、侵入時活動の傾向と内部活動の実態、今後あるべき対策方法をまとめたレポートを公開しました。
このレポートでは、トレンドマイクロの脅威研究および製品サポートセンターである「TrendLabs」および地域に密着したインシデント対応を行う「リージョナルトレンドラボ(RTL)」、顧客の環境におけるネットワーク監視・分析から調査までを行う「スレットモニタリングセンター(TMC)」、持続的標的型攻撃のインシデントレスポンスや被害環境の調査を行う専門チーム「サイバーアタックレスポンスチーム(CART)」、よりプロアクティブな脅威・技術動向分析を行う「フォワードルッキングスレットリサーチ(FTR)」などの各種専門機関において、2013年上半期に行われた持続的標的型攻撃に対するインシデントハンドリング、検体解析、ネットワーク監視、被害環境の詳細調査を元に、日本国内における持続的標的型攻撃の傾向と実態を報告するものです。
レポートでは持続的標的型攻撃について、以下の観点から報告しています。
- 侵入時活動の傾向
持続的標的型攻撃の主な攻撃手段である標的型メールの添付ファイルとして侵入する不正プログラムの分析からその活動傾向を明らかにします。標的型メールの添付ファイルでは日本を狙う攻撃としてファイル名が日本語のものが 60%でした。ファイル名も受信者が実際に関連したと思われる具体的な会議名やその議事録を装うなど、事前の偵察活動での情報収集が見て取れます。
- 侵入後に行われる「内部活動」の理解とその実態
侵入後の内部活動では、不正プログラムだけでなく、正規ツールの悪用も推測されていました。今回、実際の調査ケースのすべてで正規ツールの使用が観測され、その実態が明らかになりました。またネットワーク監視においては、実際の対応ケースから確認されたイベントログのリモート消去が、持続的標的型攻撃を受けた環境でのみ発生していることが確認され、有効な監視ポイントの1つであると結論付けられました。 - 傾向と実態から考察する、今後あるべき持続的標的型攻撃対策
持続的標的型攻撃の主体は明確な目的と意志を持った攻撃者です。攻撃者は侵入環境に合わせ、主観的に最も効果的な攻撃方法を選択します。それら潜伏した攻撃の存在を可視化するためにも、内部ツールの利用、不審な通信、サーバ上の変更などを監視する体制が必要です。また対策全体の効果を高めるためにも現在の自組織のネットワーク環境を見直し、侵入を前提としたシステム設計を行っていくべきです。
最新の攻撃傾向を分析し、そこから得られる知見を元に対策の方向性を提案する本レポートの内容が、持続的標的型攻撃はもちろんのこと、広く企業や組織に被害を及ぼすサイバー攻撃への正しい理解を深め、実践的な対策を検討する上での一助となれば幸いです。
詳細については、以下からレポートをダウンロードしてご一読ください。
https://inet.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=81
 |