従来からのマルウェアの攻撃手法は、マルウェア本体である細工が施された実行ファイルに依存していました。一方、近年増加している「ファイルレス活動」を実行するマルウェアは、感染システムのメモリ内に常駐することで、ファイルを検索対象とした従来型スキャン機能や検出方法を回避します。Windowsの標準機能である「PowerShell」は通常、システム管理の目的で利用されます。しかし同時に、Windows向けのマルウェアを作成する攻撃者にとっても、ファイルレス活動などの実現に利用できる好都合な機能となっている実態があります。トレンドマイクロでは、ファイルレス活動に関する複数のレポートを公開し、上記の事実を検証してまいりました。本記事ではWindowsの標準機能であるPowerShellを悪用する攻撃者側の手法とその対策についてまとめます。
続きを読むセキュリティ製品の評価テストマニアを自認する筆者(※)はMITRE ATT&CKフレームワークにも注目してきました。そうした中、今週、COZY BEARの異名をもつサイバー犯罪集団「APT29」を対象にしたMITRE ATT&CKによる最新の評価結果が発表されました。
以下は、トレンドマイクロの製品に関する評価結果の概要となります。
- 総検知率(Overall Detection Rate)91.79%:21ベンダ中第2位
- 設定変更なしの検知率91.04%:評価テストでは、評価結果を高くするために開始後に製品構成の設定を変更できるが、変更なしでも高い検知率を保持
- テレメトリー 107:攻撃関連イベントの検知する数値であり、非常に高い値を示している
- アラート 28:数値として中間値と言える。アラートの件数は多すぎても少なすぎても問題。テレメトリーが重要だと感じる一方で、テレメトリーなどにおいてのみアラートは設定変更が可能である
これらの数値からは、トレンドマイクロの法人向けエンドポイント製品「Trend Micro Apex One™」が卑劣で冷酷なサイバー犯罪集団APT29に遭遇しても適切に対処したことがうかがえます。なお、これらは概要を示したものであり、評価テスト結果のすべてのニュアンスを捉えているわけではありません。以下、MITRE ATT&CKフレームワークの概要と合わせ、今回のテスト結果で筆者が理解した重要ポイントを解説します。 (さらに…)
続きを読む