-2013年の国内における持続的標的型攻撃(APT)を分析- 正規の動作や通信に偽装し攻撃を「隠蔽」

~ネットワーク内の挙動を相関的に分析し、攻撃の可視化を~

2014年3月27日

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704、以下、トレンドマイクロ)は、2013年(1~12月)の国内における持続的標的型攻撃(APT:Advanced Persistent Threat)に関する分析レポートを本日公開したことをお知らせします。

持続的標的型攻撃において、添付ファイルの種類など攻撃の入口部分の傾向や、不正プログラムが接続するC&C(コマンド&コントロール)サーバなど出口部分の傾向は明らかにしやすい一方で、感染後の内部活動についてはほとんど明らかにされていません。トレンドマイクロでは、インシデント対応や日常的なネットワーク監視の取り組みから、内部活動の可視化を進めており、今回のレポートでは新たに明らかになった内部活動を解説しています。

○ 2013年 国内における持続的標的型攻撃の分析レポート:
https://app.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=132

2013年の国内における持続的標的型攻撃のサマリ

2013年の国内における持続的標的型攻撃は、正規の動作や通信に偽装し攻撃を「隠蔽」する傾向が見られました。標的型メールが送付される際は、標的内の関係者と複数回のメールのやり取りを行った後、不正プログラムを送付する「やり取り型」の標的型攻撃が複数確認されました。また、持続的標的型攻撃に使用された遠隔操作ツール100個を調査したところ、不正プログラムが外部のC&Cサーバと通信する際には、約7割(67%)がC&Cサーバのホスト名を正規のサービスに偽装していました。侵入時の攻撃が成功した後、内部のネットワーク探索や目的の情報を窃取するための活動では、当社がネットワーク監視を行った100件のうち49件で遠隔操作ツールの活動が確認され、49件全てでシステム管理者が用いる正規ツール(遠隔管理ツール「PSEXEC」など)やWindows標準のコマンドを利用し攻撃を「隠蔽」する傾向がみられました。

持続的標的型攻撃では、攻撃者は事前に標的組織を入念に調査し、セキュリティソフトで検知されないことを確認してから攻撃を仕掛けます。そのため、ウイルス対策や不正サイトへのアクセスを防止する対策に加えて、自組織ネットワーク内の挙動を分析し攻撃を可視化する対策が必要です。当社のネットワーク監視サービスでは、専任の担当者の調査により、これまでは明らかにされていなかった攻撃者による内部活動の実態把握が進んでいます。昨年の100件の調査において、同一調査対象にて「ファイル転送」(※1)「リモート実行」(※2)「痕跡消去」(※3)のうち2つ以上の挙動が確認された場合、必ず持続的標的型攻撃が行われていることがわかりました。ユーザは、単体では不正と判断しきれない挙動を相関的に分析することで、攻撃可視化の対策をより有効に進めることができます。
※1 ファイル転送:他のコンピュータに内部活動ツールなどをファイル転送する挙動
※2 リモート実行:他のコンピュータに転送した内部活動ツールなどをリモート実行する挙動
※3 痕跡消去:攻撃の発覚や発覚後の調査から自身の活動を隠蔽するため、活動痕跡を消去する挙動

※ TREND MICROはトレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。