Skip to content

国内における標的型サイバー攻撃の分析

日本を狙う標的型攻撃

2013年に発生した国内における標的型サイバー攻撃の傾向と有効な対策をご紹介します。


トレンドマイクロでは、2013年の標的型サイバー攻撃を分析し、その多くで攻撃を発覚させないための「隠蔽」が行われていることを確認しています。
この「隠蔽」の活動は、絶えず「変化」を続けています。このような変化を続ける攻撃に対して行うべき対策とは?
「スレットインテリジェンス=脅威対策の知見」を活用した有効な対策の主なポイントを紹介します。
詳細な分析結果は「2013年 国内における持続的標的型攻撃の分析(PDF:1.95MB)」をご覧ください。

2013年の標的型サイバー攻撃の主な傾向

「気づけない攻撃」=正規活動の偽装による「隠蔽」

攻撃に悪用されている正規ツールの例

正規ツール/標準コマンドなどを悪用して攻撃
→ 正規活動との見分けが困難化し、攻撃可視化の障害に


「気づけない攻撃」への対策

実際のインシデント対応から「LAN内侵入活動」(「ファイル転送→リモート実行→痕跡消去 」が短期間に連続して行われる)を確認
→ 分析による知見:個々の活動ではなく、挙動の相関を線として把握すべき
→ 活用結果:複数の挙動が確認された環境では、すべてで攻撃発生を特定

「LAN内侵入活動」の概念図

確認された「LAN内侵入活動」の挙動と攻撃発生の相関(※)

攻撃手法の分析から得られる「スレットインテリジェンス=脅威対策の知見」を
ネットワーク挙動監視に活用することで精度の高い対応が可能に

日本を狙う標的型サイバー攻撃の傾向と対策の考え方

標的型サイバー攻撃は特別な方法でしか対策できないと思われている方も多いようです。
しかし、確認された標的型サイバー攻撃の傾向から、有効な対策が見えてきます。

73%
標的型メールに添付された攻撃ファイルの73%が実行ファイル形式
89%
不正プログラムの89%がWeb系の通信ポートを使用
標的型メールで使用された攻撃ファイルのファイル形式内訳

メール添付ファイルのファイル形式による
フィルタリング対策が有効

不正プログラムが使用する通信ポート内訳

ファイアウォールによる
ポートの開閉だけでは有効な対策にならない

63%
不正プログラムの63%が標準でない通信プロトコルを使用
49%
不正プログラムの49%が外部との通信にプロキシを利用しない
不正プログラムの通信で通信ポート標準の通信プロトコルが使用される割合

通信ポートをプロトコル単位で監視できる対策が有効

不正プログラムが外部との通信にプロキシを利用する割合

プロキシを経由しない直接アクセスの因子で、
約半数の不正な通信を遮断可能

2013年 国内における標的型サイバー攻撃の分析レポート

本ページでご紹介した内容の詳細や、本ページでご紹介した以外の点など、2013年の標的型サイバー攻撃の傾向をまとめたレポートを以下よりダウンロードいただけます。

2013年 国内における持続的標的型攻撃の分析

目次(抜粋)

  • 0 はじめに
  • 1 2013年における侵入時活動の傾向
    1.1 「初期潜入」における侵入手法の傾向
    1.2 標的型メール攻撃の傾向
    1.3 攻撃に用いられたRATの活動傾向
    1.4 まとめ
  • 2 侵入後の内部活動の傾向とネットワーク挙動監視の効果
    2.1 インシデント対応から確認された内部活動
    2.2 ネットワーク挙動監視の効果
    2.3 まとめ
  • 3 まとめ

分析レポート(PDF:1.95MB)を読む

※1 2013年にトレンドマイクロが確認した持続的標的型攻撃事例から調査