ニュース

巧妙化する標的型攻撃、正規ツール悪用で侵入後に「隠蔽」も

 トレンドマイクロ株式会社は21日、2013年上半期における持続的標的型攻撃(APT:Advanced Persistent Threat)に関する分析レポートを公開した。20社に対する攻撃を調査した結果、システム管理者向けの正規ツールを利用し、システム侵入後に攻撃を「隠蔽」する傾向が見られた。

 攻撃者は、正規の遠隔管理ツール「PSEXEC」で他のPCやサーバーにコピーした不正プログラムを実行したり、ファイル消去ツール「SDelete」で活動の痕跡を消去していた。こうした「隠蔽」への対策としては、組織内で利用する正規ツールとその使用者や実行元を再確認し、正規ツールを利用する攻撃を特定することで、被害を防げるとしている。

 持続的標的型攻撃(APT)は、使用されるマルウェアが標的のシステムに侵入後、検出されるのを避けながら、できるだけ長い間とどまって不正活動を実行し続けようとする点が特徴。通常のサイバー攻撃では、アンダーグラウンド市場で価値を持つ重要なデータを収集するが、APTで収集されるのは産業スパイ行為に関する情報も多いという。

 調査では、仕掛けられたバックドアと外部のC&Cサーバーとの通信において、独自のプロトコルを利用した通信が前年同期比約1.8倍の47%に増加したことも判明。トレンドマイクロは、社内サービスで利用するポート/プロトコルの組み合わせから、非標準的な通信を遮断する対策を講じることを勧めている。

 調査ではこのほか、システム侵入時に、2013年上半期に見つかった「一太郎」の脆弱性を悪用するゼロデイ攻撃や、「貴社の製品故障について」や「取材依頼書」といった日本語のファイル名を用いて標的をだます攻撃も確認した。この種の攻撃は、修正プログラムの適用やメールの内容をもとに真偽を判断するのが難しいため、攻撃の侵入を防ぐ「入口対策」だけでなく、万が一の侵入に備えた「出口対策」を講じることを推奨している。

(増田 覚)