Skip to content

セキュリティマガジン TREND PARK

セキュリティの専門家が、緻密な分析で攻撃の根源に迫る

脅威リサーチの最前線"サイバークリミナルインテリジェンス"


特定の企業や組織、サービス、個人などを狙ったサイバー攻撃である標的型攻撃が継続しています。単純ないたずらや悪意によるものではなく、機密情報など価値ある知的財産を盗み出したり破壊したり、金銭的利益を狙って行われる執拗な攻撃は、攻撃そのものを単体でとらえ、個々に対処するアプローチだけでは対策が不十分になりつつあります。
トレンドマイクロは2012年8月、クラウド型セキュリティ基盤のTrend Micro Smart Protection Network(以下、SPN)の強化を発表しました。今回の拡張では、より膨大な脅威情報(ビッグデータ)を活用した相関分析を実現するだけでなく、昨今の標的型攻撃に対しプロアクティブな対策をすべく、高度な専門知識を持つセキュリティの専門家が、攻撃手法・挙動のつながりをリサーチすることで将来の脅威を予見し、プロアクティブな対策につなげる「サイバークリミナルインテリジェンス」の活動も紹介されました。
サイバークリミナルインテリジェンスの活動として、セキュリティのエキスパートたちはどのように脅威を分析し、さらなる安心・安全につなげているのでしょうか?本稿では、持続的標的型攻撃サンプルの分析を例に、攻撃の特徴や傾向をどのように割り出すのか、また、それをどのように効果的な対策につなげるのか、最前線のリサーチ活動の例を紹介します。

攻撃の関連性をあぶり出し、最新の攻撃からも利用者を守る

トレンドマイクロは、2012年上半期に国内の持続的標的型攻撃で最も多く確認された不正プログラム作成ツールであるPoisonIvyのサンプル50個を抽出・調査した結果、それらの約50%が関連性を持っていることを突き止め、複数のターゲットへの攻撃が同一の攻撃者や攻撃グループによって仕掛けられている可能性が極めて高いことをつきとめました。

PoisonIvyとはWeb上で無償公開されている遠隔操作ツールです。このツールはPCをリモートから管理するなどの正規の目的で利用されるケースもありますが、多数存在する遠隔操作ツールの中でもサイバー犯罪者がバックドアを作成する手段として広く利用されています。PoisonIvyで作成された不正プログラムはファイルやプロセスの操作、リモートシェルの実行、スクリーンや音声、Webカメラの画像の取得、キー入力情報の収集などを行えるのが特徴です。攻撃者はターゲットとなるPCにPoisonIvyで作成したバックドアを仕込み、リモートから侵入先のPCを制御したり、目的の情報を盗み出したりします。

トレンドマイクロの研究者が今回リサーチの材料として用いたのは、PoisonIvyサンプルとひもづく接続先ホスト(C&Cサーバ)、ミューテックスと呼ばれる、複数のプロセス間での同期制御に利用されるコード、C&Cサーバ接続時に利用するパスワードなどの攻撃者が設定する名称や文字列などの固有データです。たとえば、C&Cサーバとの認証や通信内容の暗号化のために使用されるパスワードに特殊な文字列が設定されている場合、その文字列は攻撃者以外に知り得ない情報になります。したがって、特定の文字列がパスワードとして設定されているPoisonIvyサンプルの作成者や攻撃グループは同一の可能性が高いと考えられるのです。このようにして、攻撃の関連性を特定していきます。



図1:2012年日本で確認されたPoisonIvyサンプルの関連性

また、2008年から2011年に国内において確認された100種類のPoisonIvyサンプルについても固有データを抽出し、相関分析を実施しました。その結果、2012年に観測されたパスワードの1つが2009年3月より使用されていたことがわかり、これらサンプルの約50%は2012年に行われた攻撃と関連があることも判明しました。

記事公開日 : 2012.10.19

ページの先頭へ