Skip to content

標的型サイバー攻撃対策ソリューション

正常な通信に紛れて忍び寄る脅威への対策

攻撃者の手口が巧妙化し、従来までの入口対策、出口対策はもちろんのこと、侵入をいち早く検知するための「内部対策」についても重要となっています。

高度化する標的型サイバー攻撃への対策
いまのセキュリティを活かし、原因の特定から脅威の対処まで  

標的型サイバー攻撃とは

標的型攻撃の中でも特に、特定の組織に不正に侵入し、時間、手段、手法を問わず目的達成に向けて、その標的に特化して継続的に行われる一連の攻撃について、トレンドマイクロでは「標的型サイバー攻撃」と定義しています。一般的にはAdvanced Persistent Threatを略したAPTと呼ばれることがあります。

  • 特定の組織に特化して継続的に行われる標的型攻撃
  • 公開サーバに対する攻撃とユーザに対する攻撃に分類される

標的型サイバー攻撃の攻撃手法はインターネット上に公開されているWebサーバなど公開サーバに対する攻撃と、標的のユーザにソーシャルエンジニアリングを悪用して不正プログラムを送りつけるユーザに対する攻撃の大きく2つに分類されます。日本国内でも話題になっている、開封しやすいような件名やファイル名で特定の組織内部のユーザに不正プログラムが送りつけられ、感染した端末を通じて不正に機密情報を詐取しようとする、標的型メールと呼ばれる手法も標的型サイバー攻撃の典型例と言えます。

標的型サイバー攻撃に関する記事

トレンドマイクロ セキュリティブログ

2015年7月2日
すぐ役立つ!標的型メールのリスクを減らす 2つの設定 Part2
2015年6月17日
すぐ役立つ!標的型メールのリスクを減らす 2つの設定 Part1
2015年6月11日
日本年金機構の情報漏えい事例から、我々が学ぶべきこと

サイバー攻撃に関するセキュリティブログ記事一覧 

セキュリティマガジン TREND PARK

サイバー攻撃の最新動向 ―被害拡大を防ぐ早期対処を実現するためには―

企業経営を脅かす標的型サイバー攻撃は日々巧妙化し、攻撃に気づいた時には、すでに機密情報が窃取された後だったという事態も相次いでいます。気づけない脅威にどう対処していくのか―。被害拡大を回避するための対策をご紹介します。

続きを読む

中堅商社A社が取り組んだ、標的型サイバー攻撃に対抗するセキュリティ運用強化シナリオ

巧妙化し続ける攻撃に対する備えとして、何を考え、実行すれば良いのか?ここでは、標的型サイバー攻撃に対する適切な対応により、無事に回避したシナリオをもとに、有効な体制とプロセスを解説します。(本稿はフィクションです。)

続きを読む

サイバー攻撃に関するTREND PARK記事一覧 

第三者機関の評価

セキュリティアワード2015にて該当部門の最優秀賞を受賞

トレンドマイクロは、セキュリティアワード2015において、標的型攻撃対策(ネットワーク・メール)の部 導入、費用対効果、品質精度、トラブル対応、サポート、継続利用意向の各部門で最優秀を受賞しました。
株式会社イード

お問い合わせ

サイバー攻撃・標的型攻撃対策に関するご相談は以下よりお問い合わせください。

お問い合わせ


サイバー攻撃・標的型攻撃対策における入口・出口・内部対策

サイバー攻撃対策における入口対策・出口対策・内部対策の全体図

従来、標的型攻撃をはじめとするサイバー攻撃には「入口対策」「出口対策」が有効とされており、その必要性は今でも変わりません。ただし、攻撃者の手口が巧妙化し、それだけでは侵入を防げないケースがあることも事実。そのため、攻撃者の侵入をいち早く検知するための「内部対策」が重要になっています。

標的型サイバー攻撃対策に本当に必要なこととは

進化し続けるサイバー攻撃に対抗するには、ファイルの分析だけではなく、攻撃に用いられる通信や、脆弱性攻撃を検出する技術が重要です。
トレンドマイクロが提唱する「Next Generation Threat Defense」の一つTrend Micro Deep Discovery™に実装されている、攻撃手法を検出するための複数のエンジンとその機能を動画でご紹介します。

動画を見る

内部対策の課題と解決策

不正内部活動検出の課題   トレンドマイクロの解決策

イベント単体だけでは不正かどうか判断が困難
正規コマンドを利用されるケースも多く、ユーザによる正しい挙動なのか、それとも攻撃者による不正な挙動なのかを単体のイベントだけで区別することが難しい

アラートが膨大になり、アクションがとれない
単体で不正と判断できないケースがある一方、不審な挙動のすべてにアラートをあげると、アラートが膨大になり、アクションをとることができない

Deep Discovery Inspectorによる対策
ネットワークを監視し、疑わしいイベントを多面的に検出。複数の検出イベントからそれが攻撃者によって引き起こされている一連の攻撃であるかどうかを判断します

サポートサービスによる分析と対処
検知されたアラートからさらに脅威を絞り込む分析と、絞り込んだ脅威を止めるための適切な対処をプレミアムサポートサービスとして提供します

管理者権限奪取のリスクと奪取から攻撃痕跡削除までの例

内部対策で注意が必要なのは、管理者権限を奪取された後の攻撃です。仮に管理者権限が奪取されると、情報漏えいやシステム破壊など、企業や組織への実害が発生する危険性がいっそう高まります。

管理者権限奪取のリスク

  • 管理者になり代わり、管理者コマンドを不正実行するかもしれません
  • 企業・組織の機密情報や個人情報の格納されているサーバやデータベースにアクセスするかもしれません
  • 設定ファイルの消去や書き換え、ブートファイルの変更など、システムそのものの変更をするかもしれません
  • 管理者権限で攻撃の痕跡の削除も可能です

管理者権限の奪取から攻撃痕跡削除までの流れの例

サイバー攻撃の内部攻撃の流れ

Step0:管理者権限の奪取

攻撃者は、メールへの不正添付ファイルなどを利用して侵入、一般ユーザ権限を入手したのち、ActiveDirectoryへの攻撃やシステムの脆弱性の悪用、またpwdumpなどのパスワードキャッシュ入手ツールなどを利用して、管理者権限奪取を試みます。

Step1:ファイル転送 / Step2:リモート実行

攻撃者は一度管理者権限を入手すると、管理者として任意のコマンドの実行が可能になります。管理者しか実行できないコマンドが利用できてしまうだけでなく、本当の管理者によるコマンドの実行との見分けが困難です。また、不正プログラムだけでなく、PsExecなどの正規管理ツールが利用される傾向もあります。

Step3:痕跡消去

管理者権限でログやタスクの削除が行えるため、攻撃の痕跡が残らず、最後まで攻撃に気づかないケースもあります。

製品・サービス紹介

Deep Discovery Inspector
管理者権限で実行される複数の各種コマンドやイベントから、それが攻撃によって発生しているものなのかを判断する必要があります。そのためには、異常と思われるコマンド実行や通信を、多面的に検出していく必要があります。Deep Discovery Inspectorは、ネットワーク通信をモニタリングし、複数の検出イベントから、それが攻撃者によって引き起こされている一連の攻撃であるかどうかを判断するためのセンサーです。詳しくはこちら

トレンドマイクロ プレミアムサポート for Enterprise Threat Management
Deep Discovery Inspectorによって検出されたイベントのログを解析し、早急な対応が求められる攻撃が発生している時にお知らせするサービスや、アナリストが分析した結果をレポートとしてまとめ、定期的に報告会を開催して必要な対策をアドバイスするサービスなどを提供しています。詳しくはこちら

第三者機関の評価

セキュリティアワード2015にて該当部門の最優秀賞を受賞

トレンドマイクロは、セキュリティアワード2015において、標的型攻撃対策(ネットワーク・メール)の部 導入、費用対効果、品質精度、トラブル対応、サポート、継続利用意向の各部門で最優秀を受賞しました。
株式会社イード

お問い合わせ

サイバー攻撃・標的型攻撃対策に関するご相談は以下よりお問い合わせください。

お問い合わせ


標的型攻撃をはじめとするサイバー攻撃対策は、企業規模や業態、既存のセキュリティインフラなどの条件により、必要に応じた製品を組み合せて運用していく必要があります。トレンドマイクロでは、各構成製品によって、企業をターゲットにする攻撃に対して「内部対策」はもちろんのこと、「入口対策」「出口対策」を実現し、検知、分析、適応、対処のライフサイクルで攻撃に備えます。

サイバー攻撃対策における入口対策、出口対策の全体図

疑わしい通信やファイルを検出、ブロックする「入口対策」

これらの製品は、不正と思われる通信やファイルを検出し、必要に応じて詳細分析を行う製品と連携してブロックします。例えば、IMSVA/IMSSでは、メールに添付されていたファイルが疑わしければ、クライアントへの配送の前に詳細分析を行う製品による分析を行い、不正ファイルと判定された場合には配信をブロックします。IWSVA/IWSS では、同様の分析を、HTTPなどを用いてダウンロードされたファイルに対して行います。

昨今のメール攻撃は、未知の不正プログラムを添付したり本文を記載したURLをクリックさせ、不正プログラムをダウンロードさせるという特徴があります。また、複数回のメールのやりとりを経て不正ファイルをパスワード付き圧縮ファイルとして送ってくるやりとり型など、巧妙化が進んでいます。「Deep Discovery Email Inspector」は、これらのメール攻撃を検出し、ブロックする次世代メール攻撃対策製品です。

「Deep Discovery Advisor」はサンドボックスによる解析を担当します。「疑わしい通信やファイルを検出」で紹介した製品から依頼を受けたファイルを解析し、結果をそれぞれの製品に返します。結果を受けた各製品は、その情報をもとに、通信を遮断したり、ファイルをブロックしたりすることで、攻撃を止めることができます。

既存製品で、C&Cサーバとの通信を検出する「出口対策」

これらの製品および技術は、C&Cサーバ情報を所有し、企業ネットワーク内との通信を検出/ブロックします。

「Trend Micro Smart Protection Network」は、独自のクラウドインフラを活用して、世界中から膨大な量の脅威情報を日々収集・分析しています。C&Cサーバ情報は、不正Webサーバ情報データである「Webレピュテーション」に包含されています。

第三者機関の評価

セキュリティアワード2015にて該当部門の最優秀賞を受賞

トレンドマイクロは、セキュリティアワード2015において、標的型攻撃対策(ネットワーク・メール)の部 導入、費用対効果、品質精度、トラブル対応、サポート、継続利用意向の各部門で最優秀を受賞しました。
株式会社イード

お問い合わせ

サイバー攻撃・標的型攻撃対策に関するご相談は以下よりお問い合わせください。

お問い合わせ


標的型攻撃をはじめとするサイバー攻撃対策に関するトレンドマイクロの製品・サービスの導入事例、お客様の声をご紹介します。セキュリティ対策にお役立てください。

株式会社 宇徳

全社ネットワークの可視化で内部対策を実現
専門家の運用支援サービスも活用し巧妙化する標的型サイバー攻撃に備える

標的型サイバー攻撃など、従来型の対策では防げないリスクに対処するための策が不十分だった同社は、ネットワーク上の通信を可視化するDeep Discovery Inspectorを導入。またログ分析、レポート作成などをトレンドマイクロのプレミアムサポートを使用することで、高度なセキュリティ対策を負荷なく実現した事例をご紹介します。

詳細はこちら

広島県庁

被害体験を機に標的型サイバー攻撃への対策に着手
通信の見える化による内部対策で不正な挙動・アクセスを未然に排除

先進ITの利活用に積極的に取り組んでいる広島県庁。しかし2012年の標的型メール攻撃により脅威の侵入を許してしまった。こうした攻撃の再発を防ぐため、同庁はDeep Discovery Inspectorを採用。リアルタイムな通信の見える化を目指したその成果をご紹介します。

詳細はこちら

沖縄県立総合教育センター

約2万台のPCがつながるネットワークを可視化
様々な脅威やリスクに即座に対応し、教育現場のIT活用を支える安全性を強化

沖縄県立総合教育センターが運営する県立76校と同センターを結ぶ情報教育ネットワークにセキュリティ上の課題が浮上。不正なプログラムにより、ネットワーク内のPCがC&Cサーバに接続しているケースが発覚した。DDIによるリスク可視化で必要な対策を明確にし複数のトレンドマイクロ製品を活用することで複合的なセキュリティ体制を構築したその成果をご紹介します。

詳細はこちら

導入事例集

標的型サイバー攻撃に関する脅威情報、有効なセキュリティ、対策事例をまとめた資料をご紹介しています。

導入事例集 サイバー攻撃対策編

掲載内容(抜粋):

  • トレンドマイクロ脅威分析~「気づけない攻撃」の高度化が進む~
  • 業種別 事例紹介
  • ソリューション別 事例紹介
  • 標的型サイバー攻撃対策に、いまのセキュリティを有効活用
  • 事例:株式会社宇徳
  • 事例:沖縄県立総合教育センター
  • 事例:広島県庁
  • 事例:株式会社豊通シスコム
  • 事例:三菱電機インフォメーションシステムズ

事例集のダウンロードはこちら

第三者機関の評価

セキュリティアワード2015にて該当部門の最優秀賞を受賞

トレンドマイクロは、セキュリティアワード2015において、標的型攻撃対策(ネットワーク・メール)の部 導入、費用対効果、品質精度、トラブル対応、サポート、継続利用意向の各部門で最優秀を受賞しました。
株式会社イード

お問い合わせ

サイバー攻撃・標的型攻撃対策に関するご相談は以下よりお問い合わせください。

お問い合わせ