サイバー犯罪者に迫る最新セキュリティ技術――トレンドマイクロ技術セミナー追跡(1/2 ページ)

» 2012年10月12日 21時54分 公開
[ITmedia]

「Forward looking Threat Research」の取り組み

「Forward looking Threat Research」チーム(FTR)を紹介するマーティン・ルースラー氏。FTRは20余名のセキュリティエキスパートで構成され、世界各国に点在している

 トレンドマイクロがサイバー犯罪の実態を解説するセキュリティセミナーを実施。同社の「Forward looking Threat Research」チーム(FTR)に所属するトップリサーチャーが来日し、「Luckycat」と呼ばれる標的型攻撃と、オンラインバンキングを狙ったトロイの木馬「Tinba」の事例から、サイバー攻撃の背後にいる犯罪者自身を浮き彫りにしていくFTRの取り組みを紹介した。

 FTRは、Windows 8やNFC(Near Field Communication)といった最新技術のセキュリティ研究をはじめ、エンドユーザーのインターネット利用動向や、サイバー犯罪者の活動などを日々調査している専門組織だ。

 FTRを率いるマーティン・ルースラー氏(Martin Rosler)は「FTRはいわばトレンドマイクロの“スカウト”(斥候)」と表現し、「後に続く軍に先んじて、相手の規模や戦域の情報を収集するのに似ている。将来どのようなセキュリティリスクが起こりうるか、トレンドマイクロの今後の意思決定に影響するインテリジェンスをトップに提供することがミッションだ」と説明する。また、FTRは各国の警察組織とも積極的に連携しており、その活動はサイバー犯罪者の逮捕や起訴にも貢献している(ちなみに日本では警察庁と京都府警が関係しているそうだ)。

 その土台となっているのが、トレンドマイクロの中核を担うクラウドインフラ「Trend Micro Smart Protection Network」(SPN)と、そこで収拾したセキュリティ情報に基づくビッグデータ分析である。SPNでは1日に6Tバイトのデータ(160億のクエリ)を処理し、さまざまな脅威からエンドユーザーを保護しているが、この膨大な情報をもとにサイバー攻撃の傾向(利用されるツールやコンポーネント、C&Cサーバなど)を分析、その相関関係をマッピングすることに成功したという。

攻撃の全体像を捉えることで効果的な対策を実現

FTR シニアスレットリサーチャーのナート・ヴェルヌーヴ氏

 シニアスレットリサーチャーのナート・ヴェルヌーヴ氏によれば、特定の企業・組織を継続的に狙う標的型攻撃には大きく分けて6つの段階があるという。まず1つ目は情報収集の段階。ここではFacebookなどインターネット上の公開情報をもとに標的にカスタマイズした攻撃を準備する。

 続く第2段階では不正なファイルを添付したEメールなどを用いて、標的への侵入を試みる。これらのメールは第一段階で収集した情報が利用されるため、ターゲットとなった組織の従業員が興味を持つ内容となっている(例えば、日本の宇宙航空産業を狙ったとされる標的型攻撃「Luckycat」では、「福島」を題材にした標的型メールも使用されたという)。

標的型攻撃の段階

 その第2段階で不正なプログラムにうまく感染させることができれば、外部サーバ(C&Cサーバ)を通じて感染端末をコントロール下に置く、これが第3段階だ。その後、侵入したネットワーク内で水平的に感染を広げて攻撃の可能性を増やし(第4段階)、価値のある情報が保管されているサーバを特定(第5段階)、目的の情報を窃取していく(第6段階)という流れになる。

 ヴェルヌーヴ氏は、「これらを個々の攻撃として見るのではなく、一連のキャンペーン(作戦)として捉えることが重要だ」と強調する。例えば、Luckycatでは「少なくとも5つ以上のマルウェアファミリーが使われていたことが分かっている」が、これらは相互に関係している。また、「攻撃には無料のホスティングサービスが多用されていたが、その一方で専用の仮想サーバ(VPS)も用いられていた。標的型攻撃は複雑な階層構造になっており、(攻撃の段階に応じて)人の手を介して修正されているのがボットネットと大きく異なる点だ」と説明する。ヴェルヌーヴ氏は、SPNを背景にした相関分析でこれらの攻撃の「点を結ぶ」ことにより、攻撃の全体像を可視化し、今後の攻撃に効果的に備えていくことができると語る。

標的型攻撃の初期段階では、ソーシャルエンジニアリングを利用したメール攻撃などが行われる。Luckycatでは「福島」を題材にしたメールが用いられた(写真=左)。Luckycatの攻撃で利用されたインフラ(コンピューターネットワーク)全体の相関図。まったく別の攻撃が実は関連しており、同一のキャンペーンを構成していることが分かるという(写真=右)

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

アクセストップ10

2026年03月14日 更新
  1. きょう発売の「MacBook Neo」、もうAmazonで割安に (2026年03月11日)
  2. 新品は絶滅、中古は高騰──「令和にMDを聞きたい」と願った筆者が、理想の再生環境を整えるまでの一部始終 (2026年03月13日)
  3. M5 Max搭載「14インチMacBook Pro」がワークステーションを過去にする 80万円超の“最強”モバイル AI PCを試す (2026年03月13日)
  4. セールで買った日本HPの約990gノートPC「Pavilion Aero 13-bg」が想像以上に良かったので紹介したい (2026年03月11日)
  5. 12機能を凝縮したモニタースタンド型の「Anker 675 USB-C ドッキングステーション」が27%オフの2万3990円に (2026年03月11日)
  6. 3万円超でも納得の完成度 VIA対応の薄型メカニカルキーボード「AirOne Pro」を試す キータッチと携帯性を妥協したくない人向け (2026年03月12日)
  7. ワコム上位機に肉薄? 10万円で18.4型4K! 高コスパ液タブ「GAOMON Pro 19」の長所と弱点 (2026年03月13日)
  8. 「MacBook Neo」を試して分かった10万円切りの衝撃! ただの“安いMac”ではなく絶妙な引き算で生まれた1台 (2026年03月10日)
  9. 高音質・良好な装着感・バッテリー交換式――JBLのフラッグシップ「Quantum 950 WIRELESS」は妥協なきヘッドセットか (2026年03月12日)
  10. 10万円切りMacが17年ぶりに復活! 実機を試して分かったAppleが仕掛ける「MacBook Neo」の実力 (2026年03月10日)
ランキングトップ30
最新トピックスPR

過去記事カレンダー

2026年

2025年

2024年

2023年

2022年

2021年

2020年

2019年

2018年

2017年

2016年

2015年

2014年

2013年

2012年

2011年

2010年

2009年

2008年

2007年

2006年

2005年

2004年

2003年

Feed Back