Skip to content

セキュリティマガジン TREND PARK

2012年 国内における攻撃の実態からみる
標的型サイバー攻撃に強い組織づくり

「2012年国内における標的型サイバー攻撃の分析」から読み解く


異変を察知し、継続的に対処できる組織、体制づくりを

前段までの、攻撃の初期潜入の段階における手法の分析では、2012年に起きた最新の脅威に対しても、自組織で徹底すべき基本的な対策が有効であることがわかりました。さらに、2012 年の持続的標的型攻撃の特徴のひとつである、侵入後の攻撃の「隠蔽」に着目すると、自組織の対策における別の課題を発見することができます。

攻撃の「隠蔽」の例として、正規の運用ツールを悪用することで組織内の管理者の作業であるかのように偽装する攻撃が挙げられます。また、標的のプロキシサーバの情報を予めバックドアに仕込んでおくことで、正規の業務通信に不正な活動を潜り込ませる例も確認されました。このように、様々な隠蔽工作が行われるため、持続的標的型攻撃に気づくことは非常に困難であることがわかります。
 そのため、攻撃に一度侵入を許してしまうと、ネットワークの境界における監視を行う入口、出口対策のツールを導入したとしても、そのツール単体だけでは日々変化し、隠蔽される脅威を防御することは難しいといえます。
 対策としては、小さな「異変」に気付くことのできる仕組みを整備することが重要となります。このために、まずシステムやアプリ、ネットワーク、従業員の端末上で行われる様々な活動のログを収集することが必要です。そして、 自組織の「正常」な状態を知っておくことで、「異変」を定義し、ベースラインを定めることが第一歩となります。

また、「異変」を検知したあとには、組織として対処できる体制が整備されていることも重要です。例えば、定常的にログを取得している組織は、まだ少ないのが現状ですが、仮にログを取得・保存されていても、保存先や管理がばらばら、運用フローが不明確といった組織も少なくありません。いざ調査や監視を行おうとした際に、関係者との調整などに時間を要し、思うように調査が進まないケースも見られます。
 このことから、攻撃の検知後の初動を迅速にするために、CSIRT(Computer Security Incident Response Team)といった専門チームを設けること、インシデント発生時のルールを明確にしておくことが重要です。

企業のセキュリティインシデント対応に関する
対策状況の遅れが浮き彫りに

企業の対策の現状をみてみると、トレンドマイクロが2012年に実施した調査(※1)からは、セキュリティインシデント発生時の対応が、特に役員や一般社員の間で立ち遅れている実態が浮き彫りになっています。体制が整備されていない組織でインシデントが発生した場合、現場が混乱することは必至であり、結果として、時間・人・金銭的に不要なコストを消費します。これは組織が大きくなればなるほど、重要な課題となることは明らかです。 持続的標的型攻撃の場合、「継続」して行われる攻撃の特性を考えると、発見された「異変」は断片的なものである可能性が高いため、継続的に対処できる運用や体制が組織には求められてくるでしょう。

図3 セキュリティインシデント対応に関する対策状況(役職別)

セキュリティインシデント対応に関する対策状況(役職別)

出典:トレンドマイクロ調べ(2012年)

さらに、管理者が定常的に多岐にわたる不審な挙動を一つ一つ可視化することは容易ではありません。そのため、不審なふるまいを検知する機能などを備えた監視ツールを導入することは、標的型攻撃への気づきを与え、対処するために有効と言えます。しかし、どのように強力なツールであっても、時々の状況に応じて刻々と変化する攻撃に対し、ツールのみで対応することは難しく、専門的知見の活用が不可欠となります。自組織に対して行われている攻撃から、「スレットインテリジェンス」という形で、総合的な観点で攻撃の全体像を捉えることができ、かつ具体策を合わせて提案できる第三者をパートナーにすることが、継続して行われる持続的標的型攻撃のようなサイバー攻撃に対する対策レベルを全体的に高めるにあたって、ますます重要になってきます。

  • ※図3 出典:2012年トレンドマイクロ調べ 「セキュリティアセスメントツール サイバー攻撃対策編」
    https://app.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=94
  • ※本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です

記事公開日 : 2013.03.22

ページの先頭へ