SecureWorks Japanは1月25日、最近の標的型攻撃の動向を説明する記者説明会を開催。この中で、同社 セキュリティ&リスクコンサルティング マネージャ 三科涼氏は、標的型攻撃を受けている企業のうち、自社で発見できたケースは12%程度だと説明し、巧妙化する標的型攻撃の防御の難しさを強調した。
同氏は巧妙化する驚異について、「10年ほど前まではサイバー攻撃は愉快犯やウイ ルスが中心だったが、最近の標的型攻撃は、金銭目的や思想に基づいた攻撃が増え、より組織的になっている」と指摘した。
同社が昨年対応したセキュリティインシデントは720件あったが、このうち、自社で攻撃を発見したのは1割強に過ぎないという。ほとんとは、JPCERT/CCや警察など、外部からの通報だという。
発見されにくい要因としては、予め利用されているセキュリティ対策ソフトを調査し、それに発見されないような手口を利用する点や、侵入後は正規の管理コマンドを利用しながら権限を乗っ取っていくためだという。
そのため三科氏は、サンドボックスなど既存のセキュリティ対策で防御することは不可能で、ネットワーク検知だけでは発見は難しく、攻撃の入り口となるエンドポイントの監視が重要だとした。
日本を狙う標的型攻撃は、マルウェアを使った遠隔操作を多様し、eメールの添付ファイルやWebサイトを踏み台にする水飲み場攻撃などを利用し、従業員の端末を経由して進入するケースが多いという。その後、社内ネットワークを横展開し範囲を広げ、最終的にActiveDirectoryやファイルサーバなどの権限を乗っ取っていくという。場合によっては、数年単位で行うケースもあるという。特徴的なのは、HTTP通信を使って活動する点で、各種の正規コマンドを発行して攻撃の範囲を拡大していくケースが多数見受けられるという。
同氏はこういった攻撃に対応するステップとして、「脅威の実態の可視化」「ギルチェーン分析」「再進入防止」の3つがあると説明した。ギルチェーン分析とは、攻撃者や攻撃手法を分析し、その対抗策を計画することだ。
同社では再進入防止策として、標的型攻撃ハンティング(TTH)と、24時間監視のエンドポイント監視サービス「AETD(Advanced Endpoint Threat Detection」を提供。
TTHは、同社の専門分析官による標的型攻撃の兆候や攻撃者を特定するサービスで、一方、AETDは、Red Cloakというツールを使い、攻撃の痕跡やフォレンジック調査に必要な情報を収集・分析し、攻撃者の振る舞いを検知する。具体的には、レジストリ、プロセス、メモリ、ユーザー情報などエンドポイントの詳細情報を監視するという。
三科氏によれば、Red Cloakの強みは、実際にインシデントに基づき設計・実装されている点や、世界で100名ほどの調査部隊CTU(Counter Threat Unit)の知見が詰まっている点にあるという。