「特効薬はない」標的型攻撃の傾向と対策、トレンドマイクロが解説


 トレンドマイクロ株式会社は26日、情報窃取を目的として特定の組織や個人をサイバー攻撃する「標的型攻撃」の傾向と対策を紹介するセミナーを開催。同社のリージョナルトレンドラボが収集した国内の事例をもとに、「特効薬はない」という標的型攻撃の実情を踏まえた対策を解説した。

標的型攻撃「入口」の70%が脆弱性悪用の文書ファイル

 標的型攻撃とは、知的財産や金銭的利益、破壊行為を目的として、特定の組織やサービス、個人に対して行われるサイバー攻撃。最近では特に、特定の組織に不正侵入し、時間や手段を問わずに継続的に行われる攻撃が増えており、トレンドマイクロでは一連の攻撃を「持続的標的型攻撃」と呼んでいる。

 攻撃手法としては、公開サーバーの脆弱性を悪用してネットワークに侵入したり、メールに添付した不正プログラムをクリックさせて侵入するケースなどがある。メールに関しては、差出人を知人の名前に偽装したり、メール本文でも社内用語を記載するなど、一見しただけでは不正なメールとは判断できないようになっている。

持続型標的型攻撃で利用される攻撃手法持続型標的型攻撃に利用されたメール
リージョナルトレンドラボ課長の原良輔氏

 攻撃者はなぜ、標的となった人物の知人の名称や社内用語を知っているのか。トレンドマイクロのリージョナルトレンドラボ課長の原良輔氏は、「攻撃者がウェブに公開されている情報をもとにしたり、標的となるユーザーのPCに侵入し、実際にやり取りされているメールを盗み見ているためだ」と説明する。

 原氏によれば、持続型標的型攻撃の「入口」、つまり侵入口作成に利用される攻撃手法の7割近くは、脆弱性を悪用する文書ファイル(doc、pdf、xlsなど)が占めているという。残りの30%は脆弱性を利用しない実行ファイル(exeやscr)、約5%は未知の脆弱性を悪用したゼロデイ攻撃となっている。

 「攻撃者はいかに添付ファイルをクリックしてもらうかを考えているが、文書ファイルは警戒されにくい傾向がある。実行ファイルを添付する際にも、文書ファイルの拡張子やアイコンに偽装されている。ゼロデイ攻撃の割合が少ないのは、既知の脆弱性で攻撃に成功しているためで、ゼロデイ攻撃を使うまでもないということだ。」

 また、持続型標的型攻撃の「出口」、つまり端末が外部の攻撃者と通信する経路としては、ウェブ閲覧に使用される通信プロトコル(HTTPやHTTPS)やポート(80や443)が主に使われている。その理由としては、正規のウェブ閲覧の通信と見せかけて、外部の攻撃者と通信するためだという。

 出口の傾向としてはさらに、不正プログラムがアクセスするサーバーのトップレベルドメインの7割近くが、「.com」「.net」「.org」「.info」などのジェネリックトップレベルドメイン(gTLD)だった。国別ドメインを用いた場合、該当するドメインのアクセスを止めれば不正通信を防げるが、gTLDを使うことで攻撃者は身元を隠しやすくなるという。また、不正プログラムがアクセスするサーバーのIPアドレス割当国についても、「身元を隠しやすくする」という理由から、動的に変化させていると原氏は指摘する。

入口の傾向出口の傾向不正プログラムがアクセスするサーバーのgTLD/IPアドレス割当国

標的型攻撃は「入口対策」「出口対策」「攻撃の可視化」で対処

セキュリティエバンジェリストの染谷征良氏

 トレンドマイクロでセキュリティエバンジェリストを務める染谷征良氏は、持続型標的型攻撃への対策について「特効薬はない」というが、「攻撃者の目的を未遂にし、デジタル資産と事業継続性を守る」ということを前提に「入口対策」「出口対策」「攻撃の可視化」の3つの対策が重要だと言う。

 入口対策としては、修正プログラムや侵入防止システム(IPS)、実行ファイルの受信拒否などで防御する、出口対策としてはプロキシで通信を制御したり、ファイアウォールで非標準の経路を使用する通信をブロックする、攻撃の可視化としては同社の「Threat Management Solution」をはじめとした企業ネットワーク内の脅威を可視化するソリューションが有効だとした。

 トレンドマイクロではこのほか、全25問の設問に答えることで標的型攻撃をはじめとするサイバー攻撃などへのセキュリティ対策の現状を診断する無料サービス「セキュリティアセスメントツール」や、持続的標的型攻撃の概要を解説するウェブページを公開している。


関連情報


(増田 覚)

2012/1/26 16:42