Skip to content

セキュリティマガジン TREND PARK

初めに着手したのは通信ログの分析


 情報システム部の管理用PCの前に座った山中氏と斉藤。斉藤は「標的型サイバー攻撃はウイルス対策ソフトで検出されないことを事前に調査した上で侵入を図る事例が確認されています」と説明します。システム内のPCが標的型サイバー攻撃による未知の不正プログラムに感染した場合、C&Cサーバとの通信経路が確保され、新たな不正プログラムのダウンロードが発生したり、外部から不正にリモート操作されたりする可能性があるのです。

 その後、次第に社内ネットワーク内部で攻撃基盤が作成され、重要な情報資産が保持されたサーバへの侵入を許し、最終的に機密情報が盗みだされるという流れです。このように、標的型サイバー攻撃には目的を達成するための一連の攻撃プロセスがあり、その過程において不審な通信が多く発生します。そのため、不審な通信を監視することが重要なのです。

未知のウイルスを発見

 「ファイアウォールやプロキシなど、ネットワーク機器の通信ログから不審な通信が発生していないか確認及び分析を行ってみましょう」と言う斉藤は、山中氏と共に作業を開始しました。

 標的型サイバー攻撃について調べていた最中に、通信ログに痕跡が残る場合が多いということについて知っていた山中氏は、事前に通信ログを抽出するなど準備をしていました。しかし、膨大なログの中から何を見つければ良いか分からなかったと言います。斉藤は「この膨大な量のログの中から怪しい動きを見つけることは、手法が漠然としている状況では難しいです。そんなときにどうすれば良いのか一例をご紹介します」と説明しました。

標的型サーバー攻撃対策:4つのステップ

記事公開日 : 2014.12.12

ページの先頭へ