Skip to content

セキュリティマガジン TREND PARK

セキュリティの専門家が、緻密な分析で攻撃の根源に迫る

脅威リサーチの最前線"サイバークリミナルインテリジェンス"


このほか、PoisonIvyで作成されたバックドアがC&Cサーバと行う通信では、特定のパスワード認証方法や暗号化方式を使用することもわかりました。この特性を利用してC&Cサーバの存在を探ったところ、4台のC&Cサーバが特定のIPアドレスレンジ(近い番号のIPアドレス)を利用していることを確認しました。そこで周囲のIPアドレスを調査すると、新たに3台のC&Cサーバの存在が認められました

図2:同一C&Cサーバ基盤において異なるパスワードを利用した攻撃

このように、サイバークリミナルインテリジェンスの活動として、個々の検体・攻撃ごとの分析ではなく、より攻撃者寄りに視点を置いた総合的な分析を通じて、これまで特定できていなかった攻撃まで関連性を予測して、被害を未然に防ぐ対策に反映しているのです。

インテリジェンスをSPNに統合、プロアクティブなソリューション提供へ

持続的標的型攻撃が猛威を振るう中、従来のように攻撃を単体で発見し、それに対処していくアプローチでは対策の効果が限定されます。なぜなら、持続的標的型攻撃では、明確な目的を持った攻撃者がターゲットに侵入するために複数の手法を駆使して次々に攻撃を仕掛けてくるためです。しかも、サイバー犯罪者は常に新たな攻撃手法を生み出し、ターゲットへの侵入に最も効果的な攻撃を仕掛けてきます。これは、1つの攻撃を追跡しているだけでは見えてこない事実です。

検体を入手してパターンファイルを作成する従来型の対策では、攻撃を受けてからの事後的な対処が中心でした。これに対して、SPNが全世界から収集する膨大な脅威情報をもとに、攻撃の背後にある共通点を見出し、攻撃手法の相関関係をつかむことができれば、攻撃のターゲットや次に仕掛けられる攻撃を予測して、プロアクティブなソリューションの提供につなげることも可能になるのです。

トレンドマイクロのクラウド型セキュリティ基盤であるSPNは、不正Webサイト、ウイルス、スパムメールなど、インターネット上のさまざまな脅威情報を登録したクラウドインフラと端末側のアプリケーションを連携させ、最新の脅威からユーザを保護するトレンドマイクロのコア技術として確立しています。2012年8月に発表した強化により、より広範な脅威情報、いわゆるビッグデータを活用した相関分析が可能になり、得られた結果をソリューションの改善に役立てることでユーザにさらなる安心・安全を提供できるようになります。

そして、その分析をサポートするのが、長年にわたって脅威情報を解析し、さまざまな攻撃のパターンや傾向、脅威の全体像を明らかにしてきたセキュリティの専門家であるトレンドマイクロの研究者達の知見です。今回の例で紹介した以外にも、継続的に追跡している一連の標的型攻撃がAndroid™デバイスをターゲットに加えようとしていることも確認しています。さらに、様々な分野において将来の脅威を予見する研究活動も行っています。このような専門家のインテリジェンスに支えられ、常に情報の精度や鮮度を高め、現状の複雑化する脅威に対して即時性の高い、適切な対策をとるためのセキュリティ基盤として、SPNは進化し続けます。

※AndroidはGoogle Inc.の商標です。

記事公開日 : 2012.10.19

ページの先頭へ