Skip to content

セキュリティマガジン TREND PARK

2012年 国内における攻撃の実態からみる
標的型サイバー攻撃に強い組織づくり

「2012年国内における標的型サイバー攻撃の分析」から読み解く


トレンドマイクロは、2013年2月「2012年国内における持続的標的型攻撃の分析~実践的対策へのアプローチ~」を発表しました。2012年の日本国内における持続的標的型攻撃においては、上半期のレポートに引き続き「継続」「変化」「隠蔽」という特性を持った攻撃が行われ続けている実態が浮かび上がってきました。
深刻化する持続的標的型攻撃の脅威に対し、企業が講じるべき対策とは何か。今回発表されたレポートでは、確認された攻撃手法の分析や組織で起こったインシデントの実情を紐解くことで、標的型攻撃から組織を守るための有効な対策を明らかにしています。

2012年の標的型サイバー攻撃の手法を紐解く

持続的標的型攻撃とは、特定の組織に不正に侵入し、時間、手段、手法を問わず、目的達成に向け、その標的に特化して、「継続」的に行われる一連の攻撃です。最終目的である機密情報の窃取に向け、攻撃者は様々な手段を使って攻撃の「隠蔽」を試みます。個々の攻撃はひとつの手段に過ぎず、必要に応じ刻々と「変化」します。さらに、攻撃者は攻撃の成功率を高めるため、標的を事前に入念に調査し、そこで得た情報を次なる攻撃へ活用するなど、組織の対策をより困難にしています。

2012年下半期は、標的型メールへの添付を用いた攻撃において、実行形式の不正ファイルが多く報告されました。図1に示しているように、文書、画像ファイルと実行形式のファイルの割合が2012年上半期と逆転していることがわかりました。下半期に増加したexe形式のファイルは、二重拡張子を使いdocファイルに見せかけ、Wordファイルに似せたアイコンを表示させるなど、人の心理の隙をつく偽装工作を施したものが引き続き確認されました。反面、Adobe Readerの脆弱性を悪用する不正なpdfファイルの数は減少しています。この減少の背景には、Adobe ReaderのバージョンX以降でセキュリティ対策技術を強化させたことが要因の一つにあると考えられます。

図1 攻撃に用いられた不正ファイルの種別(上半期、下半期)

攻撃に用いられた不正ファイルの種別(上半期、下半期)

出典:トレンドマイクロ調べ(2012年)

侵入段階で使われるそれぞれの攻撃手法をみると、実行型ファイルの悪用、文書ファイルの脆弱性の悪用、人の心理をつく偽装工作など、いずれも従来からある攻撃の常套手段が利用されていることがわかります。
同様の傾向は、組織内のネットワークにインストールされた不正プログラムにもみられました。例として、外部に用意された不正なサーバに組織内の情報を送る際の通信において、特徴的なパケットを送信するなどの傾向を確認しています。このパケットの場合、仮にファイアウォールで攻撃を制止できなかった場合でも、通信の中身をチェックした場合に発見することが可能となります。

基本的な対策の見直しが有効な対策への第一歩

これらの実態から、攻撃の初期段階においては、ゲートウェイにおける対策やソーシャルエンジニアリングへの対策、組織内部のネットワークの監視強化といった、基本的なセキュリティ対策が有効な手段の一つであることが分かります。

図2 組織へ潜入するための初期の攻撃に有効な対策例

組織へ潜入するための初期の攻撃に有効な対策

出典:トレンドマイクロ調べ(2012年)

また、自組織で施すべき基本的なセキュリティ対策が、不十分な状態である組織が少なくない状況が伺えるデータがあります。トレンドマイクロが2012年に実施した調査(※1)からは、OSやアプリケーションの脆弱性対策が不十分な企業は約4割でした。また、約6割の組織では実行ファイルの送受信を禁止したり、組織内ネットワークの通信を監視する対策が不十分という実態も明らかになっています。
新たな技術を取り入れ、新規製品を導入する場合、企業にとってコストなどの負担も大きく、万全の対策を行うことは必ずしも現実的でないかもしれません。
しかし、今回の2012年の分析からは、「基本的な対策」であっても標的型攻撃の侵入を防ぐためには効果的だといえることが明らかになっています。このことからも、まずは自組織において、既存のIT環境を見直し、ポリシーに合わせたセキュリティ運用を行うなど、基本的な対策が実施されているか見直すことをお勧めします。

記事公開日 : 2013.03.22

ページの先頭へ