Skip to content

セキュリティマガジン TREND PARK

もしかして標的型サイバー攻撃のターゲットに?


 新たなパターンファイル作成の指示をしながら、佐藤の頭の中に一つの不安が湧き上がってきました。

 以前、今回同様のウイルスが発見されたインシデントに対応した際、その企業が標的型サイバー攻撃のターゲットにされていたケースがあったのです。佐藤は、A社が万一標的型サイバー攻撃のターゲットになっている可能性を考え、パターンファイルの作成と並行してさらなる調査を進めるという判断を下しました。

 万一A社が標的型サイバー攻撃の対象になっているとすると、感染した端末からネットワークを経由して他の端末に感染が横展開している恐れがあります。攻撃者がそのような意図に基づいた攻撃を仕掛けてはいないか、そして感染が他の端末や接続している他のネットワークに広がっていないかを調べるためには、パターンファイルに依存しない検出ロジックによる調査が必要です。

 そこで佐藤はトレンドマイクロ独自のネットワーク監視ツールにより、A社のネットワーク上の通信を監視することにしました。このネットワーク監視ツールは、ウイルスが引き起こす特徴的な振る舞いや攻撃者による一連の攻撃を検知することができます。ネットワーク上で検出された通信の動きを監視ツールが持つ基準に照らし合わせた上で、基準に合致した際に、その通信は不正な通信と判断され、ウイルスの存在が確認できるのです。このツールを使用してネットワークの監視を始めたところ、ネットワーク上の複数の端末でPsExec.exe(※2)が端末間でコピーされていることが確認されました。

「悪い予感が当たってしまった。バックドア型ウイルスとPsExec.exeファイルが見つかった以上、かなり深いレベルでA社のシステム情報が搾取されている可能性が高い」。

 佐藤はそう考え、この事態をいかに打開して行くか、考えを巡らし始めた。

  • ※2 PsExec.exeは、リモートでプログラムを実行するための実行ファイルだが、マイクロソフト社から提供されている正規ツールのため、不正ファイルとしては検知されない。主に管理者が利用するツールであり、一般業務で利用されることは稀なため、このファイルが見つかったりコピーされたりしているのが発見された場合、外部の攻撃者により何らかのファイル操作やプログラム操作がリモートで行われた可能性が疑われる。さらに、このファイルを実行するためにはAdministrator権限(管理者権限)が必要なため、この権限が不正に取得された可能性も高い。

記事公開日 : 2014.12.12

ページの先頭へ