高度な標的型攻撃、始まりから発見まで平均273日

デル傘下のセキュアワークスが、サイバー攻撃の実態解明から再発防止までを支援するサービスを始める。これまでの対応実績から、高度な標的型攻撃は検知できない場合が大半だと指摘した。

[ITmedia]

　デル傘下のセキュアワークス ジャパンは6月21日、高度な標的型攻撃を受けている企業向けに実態解明から再発防止策までを支援する「標的型攻撃ハンティング・サービス」を開始した。

　同サービスは、Advanced Persistent Threat（APT）と呼ばれる非常に高度な手口を用いて、長期間にわたって仕掛けられる標的型攻撃の実態を詳細に調べた上で、攻撃に使われたマルウェアの駆除や脆弱性などの解決を図り、実施した再発防止策の有効性が確認されるまでの対応を支援する。

　特に攻撃実態の把握では、ネットワークの通信状況やPC端末上の動作状況、また、ネットワークセキュリティ機器やシステムのログといった各種の情報を同社の分析官が総合的に解析する。調査範囲や分析状況、応急措置、再発防止策などについての作業は、依頼企業と随時協議しながら進める。再発防止策を実施した後も一定期間は状況監視を続け、有効性が確認された時点で対応支援を終了する。

攻撃実態の調査イメージ

　同サービスは、2012年から欧米や中東地域で先行して提供されており、2015年は44件の事案に対応したという。調査範囲はPC数十台規模から約20万台規模とさまざま。1件の対応プロジェクトの期間は平均で数週間という。費用は最小規模のケースで400万円ほどだが、対応状況によって異なるとしている。

　セキュアワークスは、2015年に今回のサービス対象になるAPT事案を含め、約388件のセキュリティインシデントに対応したという。うち344件の一般的な脅威では攻撃者の侵入行為の77％にフィッシングメールが使われる一方、APTでは31％だった。Webサイト閲覧者の脆弱性を突くケースは、一般的な脅威では3％だったが、APTでは28％に上る。

　また、メールを使う手口で受信者が開封したケースは23％、添付ファイルをクリックしたケースは11％あった。メールによってマルウェアに感染したケースは40％近くを占める。調査によって脅威の侵害が始まってからその事実が確認されるまでは、平均273日を要した。

高度な標的型攻撃は検出が非常に難しいとされる

　標的型攻撃対策では「あやしいメールを開かない」と未然の注意が提言されるものの、こうした状況から標的型攻撃を防ぐのは難しいといえ、同社では脅威の侵入を前提とした対応準備の重要性を指摘している。