SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZineニュース

正規ツールを悪用する「環境寄生型」攻撃が継続――トレンドマイクロが「国内標的型攻撃分析レポート」を公開

1. 侵入から内部活動に至る全てのプロセスで「正規」ツール、サービスを悪用

 2018年の標的型攻撃は、侵入から内部活動に至るサイバー犯罪者が標的の組織に攻撃を行う全てのプロセスにおいて「正規」ツールを悪用する「環境寄生型(Living Off the Land)」と呼ばれる手口が顕著となった。

 標的組織への侵入は、主に標的組織の従業員へ送付される標的型メールにより行われる。2018年は標的型メールの7割がイベントの開催案内、寄稿原稿の校正確認など受信者の業務と直接関連がある内容を含んだものだった。

 また、標的型メールに添付されるファイルは、exeなどの実行形式、OSやアプリケーションの脆弱性の悪用、WordやExcelなどの正規機能を悪用する3つのタイプに分類できるが、WordやExcelなどで使われるDynamic Data Exchange(DDE)機能などの正規機能を悪用する攻撃が72%だった。

図1:標的型メールの添付ファイルと攻撃手法、N=50(作成:トレンドマイクロ)

 サイバー犯罪者は、標的組織に侵入する際、端末を制御するために遠隔操作ツール(Remote Access Tool:RAT)を用いる。端末を操作するための遠隔操作サーバは、6割以上が国内の企業や組織、クラウドサービスなど一般のサービスに模した文字列を含むドメインが使用された。

図2:遠隔操作ツールの通信先の傾向、N=37(作成:トレンドマイクロ)

 標的組織内での内部活動においては、不正プログラムの使用を控えて正規のツールを悪用し、侵入を隠蔽する手法が2018年も継続した。具体的には、商用ツール「Cobalt Strike」やオープンソースの遠隔操作ツール「QuasarRAT」などが使われた。

 これらのツールは不正なツールではないため、セキュリティ製品による検出や監視の目を免れるために使用していることが伺える。また、これらの商用ツールやオープンソースの遠隔操作ツールを実行する際にも、活動を隠蔽するために標的組織で使われる「PowerShell.exe」や「mshta.exe」といった正規プロセスを悪用し、ツールを実行した痕跡を残さない「ファイルレス活動」も行われている。

 システム担当者は、正規の遠隔操作ツールのログを検知した場合、その利用者と利用されている時間などを基に正当性を確認することが重要になる。また、ネットワーク上の振る舞いで検知が難しいファイルレス活動は、エンドポイント内で実行されたプロセスを保存し、調査できる仕組みを講じることが有効だ。

2. 法人組織の5社に1社で標的型攻撃における遠隔操作ツールの疑いを検出

 トレンドマイクロが、ネットワーク監視を行っている法人組織の21.0%で標的型攻撃で使われる遠隔操作ツールによる遠隔操作サーバへの通信の疑いを示す検出を確認した。サイバー犯罪者が既に法人組織で標的型攻撃による内部活動を行っており、組織の機密情報を外部に持ち出しているリスクがあることを示している。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/12343 2019/08/08 16:15

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング