標的型攻撃には3つの特性で対処すべき、トレンドマイクロ

2012年に国内で発生した持続的標的型攻撃から、「継続」「変化」「隠蔽(いんぺい)」の3つの特性で対策を講じるべきだとしている。

» 2013年02月18日 12時32分 公開
[ITmedia]

 トレンドマイクロは2月18日、2012年の国内における「持続的標的型攻撃」について分析したレポートを公開した。「継続」「変化」「隠蔽(いんぺい)」の3つの特性から対策を講じるべきとアドバイスしている。

 それによると、まず「継続」では2009年に確認された攻撃の攻撃者と同一を思われる攻撃者による攻撃が、2012年も複数の国内組織を標的にして行われたことを確認した。攻撃者は、同一の攻撃インフラ(C&Cサーバ:マルウェア感染PCなどを遠隔から指令・制御するサーバ)を継続的に使用していた。

 「変化」では、実行形式(exe)ファイルを使う攻撃が上半期の30%から下半期は61%に増加した一方、PDFファイルで脆弱性を突く攻撃は19%から2.5%に減少した。C&Cサーバと通信するマルウェアの「バックドア」は、上半期に56%がport80のHTTPを利用したが、下半期は37.5%がport443の独自プロトコルを最も多用したという。

 「隠蔽」では、正規の運用ツールを悪用してあたかも管理者の作業であるように見せかけたり、不正な通信を正規の通信に偽装したりする手口が見つかった。

 攻撃者は最終標的とする機密情報を搾取するために、成功率の高い手法を常に選択しながら、一方で攻撃インフラを使い続ける傾向にあると同社は分析。手口の変化を把握しながら、攻撃元の特性を踏まえた効果的な対策を講じていくべきとした。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ