サイバー攻撃の最新動向 ―防御側の裏をかく隠蔽工作まで―
被害拡大を防ぐ早期対処を実現するためには

企業経営を脅かす標的型サイバー攻撃が横行しています。攻撃手法は日々進化し、防御側の追跡を逃れるため、追跡調査の裏をかく手口まで確認されています。このため攻撃に気づいた時には、すでに多くの機密情報が窃取された後だったという事態も相次いでいます。気づけない脅威にどう対処していくのか―。被害拡大を回避するための対策をご紹介します。

隠蔽工作が高度化、気づかぬ間に進行する被害

昨今の標的型サイバー攻撃は、企業経営に甚大な被害をもたらす大きなリスク要因です。実際、国内外で顧客データ、クレジットカード番号、社内の機密情報などが窃取される事案が相次いでいます。情報の流出による実害もさることながら、事故が発生すれば企業イメージが大きく毀損され、風評被害なども追い打ちをかけます。標的型サイバー攻撃対策は企業にとって重要な経営課題の1つなのです。

多くの企業がセキュリティ対策を施しているのに、なぜ情報流出被害が後を絶たないのでしょうか。背景にあるのが高度化する攻撃、「気づけない脅威」の拡大です。
標的型サイバー攻撃を象徴するキーワードは「継続・隠蔽・変化」です。姿や形を変えてターゲットに執拗かつ巧妙に攻撃を仕掛け、その痕跡を消し去ることで、監視の目をかいくぐってしまうのです。

特に昨今顕著なのが、隠蔽工作が高度化していることです。例えば、従来の遠隔操作用サーバは海外に設置されるケースがほとんどでしたが、近年は海外サーバの通信に着目した監視を回避するため、遠隔操作用サーバを国内に設置するケースが増えているのです。トレンドマイクロの調査によると、2013年に6%だった遠隔操作用サーバの国内設置比率は、2014年に44%と7倍以上に増大しています(図1)。

図1 監視を逃れるための攻撃手口
海外サーバへの通信に着目した監視を回避するため、国内に遠隔操作用サーバが設置される事例の割合が6%から44%に急増している

※ それぞれ2013年1月~12月、2014年1月~12月の期間に国内の法人ユーザからトレンドマイクロへ解析依頼のあった遠隔操作ツール100件を調査し、遠隔操作ツールが接続する遠隔操作用サーバが特定できた事例を、IPアドレスをもとに設置国別にトレンドマイクロにて集計(1検体が複数の遠隔操作用サーバへ接続する際は、複数カウント)。

侵入後の内部活動も巧妙化しています。遠隔操作の大多数が、一般的にファイアウォールで閉じられることないポート(ウェルノンポート)と標準プロトコルを使用し、ネットワーク内の探索や情報搾取にも正規のツールやコマンドが利用されています。正規通信のポートやツールを利用することで、ファイアウォールによる制限の影響を受けず、確実に外部と通信できるようにしているのです。ログオンスクリプトの改ざん、SIEMなどによるシステムログ保全のためのタスク実行前にログを改ざん/消去するなどセキュリティ対策の裏をかいた隠蔽工作も増えています。

被害最小化のカギは発見から対処までの対応時間の短縮

「気づけない脅威」に対応するには、スレットインテリジェンスをはじめとする脅威対策の知見を活用し、隠蔽のために変化を続ける活動を捉え、継続して対策していくことが重要です。製品による対策としては、通信先や通信内容によって接続を遮断するなどの「出口対策」に加え、社内ネットワークやサーバ/クライアント内で不審な挙動を監視できる「内部対策」の強化が欠かせません。
特定企業を狙った標的型サイバー攻撃は未知の不正プログラムで攻撃してくるため、パターンファイルだけでは発見が困難です。未知脅威の発見に有効なサンドボックスを使った動的解析やふるまい検知などの技術を搭載したネットワーク監視製品が有効です。

一方で、刻々と変化する脅威を捉え、対処するためには、専門的な知見と時間を要します。また未知脅威を発見しても、対処までには、セキュリティベンダに検体を提出し、ベンダの解析とパターンファイルの作成を待ち、さらにパターンファイルをシステム管理者が端末に配信するという、複数の工程が発生します。こうした現状が、最新セキュリティを導入しているのに、被害が拡大する原因の一部になっています。脅威を発見し、さらに発見から対処までのサイクルを短縮化することが、情報保護の明暗を分けるカギになります(図2)。

図2 「気づけない脅威」の被害拡大を防ぐポイント
最新の技術を活用し、未知の脅威をいち早く検知すること。さらに解析作業やシグネチャの作成・配信・対処までの手間を省力化し、対応時間を短縮することが最も重要だ。

攻撃対策の迅速化に加え、投資保護にも有効

こうした課題を解決するのが、最新脅威に対応した製品と一連のサイクルを自動化によるトレンドマイクロの新しいソリューションです。ネットワーク監視製品「Deep Discovery Inspector™」(以下DDI)と統合管理ツール「Trend Micro Control Manager™」(以下TMCM)、エンドポイント製品「ウイルスバスター™ コーポレートエディション」(以下ウイルスバスター)の連携で、発見から対処までの一連の対応を自動で行います(図3)。

図3 「ウイルスバスター コーポレートエディション」との製品連携
ウイルスバスターとDDI、TMCMを組み合わせることで、未知の脅威の検知、シグネチャの作成・配信・対処のプロセスを自動化する

具体的にはDDIのふるまい検知やヒューリスティックルールにより、特定企業を狙った未知の脅威を検出し、独自のカスタムシグネチャを自動的に作成。それをTMCMから、ウイルスバスターをインストールした各端末へ自動配信する仕組みです。これにより、未知の脅威の迅速な検知・ブロック・隔離を実現します。
最新テクノロジーで未知の脅威をいち早く検知し、シグネチャの作成・配信・対処のプロセスを自動化し、未知の脅威に対する対応時間を大幅に短縮することで、「気づけない脅威」による被害の拡大を効果的に防止するのです。

ウイルスバスターと連携しているため、ご利用中のお客さまは既存資産を有効活用でき、投資の保護にもつながります。今後はウイルスバスターのプラグイン、クラウドと連携したサンドボックス機能などを組み合わせることで、ソリューション強化を加速していきます。

高度化する「気づけない脅威」に対応するには、侵入を前提としたインシデント対応が不可欠です。企業内ネットワークへ侵入する際の活動、侵入後の内部活動を可視化し、脅威を早期に発見、対処することが、標的型サイバー攻撃に対峙し、損失を最小限に抑えるソリューションとして極めて有効なのです。

連携機能は、2015年6月~8月リリース予定の各製品最新バージョンから対応予定。
詳細は製品ページもしくは窓口までお問い合わせください。

※ すべての未知の脅威に対応するものではありません。

記事公開日 : 2015.06.05
 この記事は、公開日時点での情報です