トレンドマイクロ、標的型攻撃の兆候を見つけるポイントを紹介
標的型攻撃は標的のネットワークに適用されているセキュリティポリシーや対策を回避した設計になっている。標的型攻撃は痕跡をなるべくのこさないよう設計されているため検出が困難で、IT管理者が求めているすべての標的型攻撃に対処できる万能なセキュリティ対策はないが、侵入の可能性を示すものがどこで確認できるかを知ることにより、標的型攻撃の兆候を見つけて対処できるよう、トレンドマイクロが7つのポイントを紹介している。
まず、攻撃者は自身のコマンド&コントロール(C&C)サーバとの通信がブロックされていないかを確認するため、DNSレコードを改ざんすることがある。攻撃者は通常0.0.0.0や1.1.1.1、255.255.255.255などのIPアドレスをC&Cサーバの代わりとして利用し、新しく登録された不審なドメインやランダムな文字構成のドメイン、有名企業に似せたドメインを利用している、などの兆候からDNSレコードの存在を確認できる。
二つ目に、攻撃者がネットワーク内の侵入に成功すると、メールサーバやファイルサーバを検索してアクセスするが、更新プログラムをきちんと適用してサーバが保護されている場合には攻撃により突破しようとする。しかし、多くのログオン失敗の記録が残されるため、失敗したログインや不規則な時間のログインを調べることで攻撃者の企みが明らかになる。
三つ目に、セキュリティ対策製品が警告を行っても、警告されたファイルがユーザのよく知るファイルであったり無害に見えるとユーザが誤警告と判断するが、実際調査を行うと攻撃者がネットワーク内にいることが多いため、警告は再確認した方が良い。攻撃者はPCやネットワークを診断するツールや正規管理ツールを悪用する可能性があるため、無害のツールであっても警告があったら確認することで、攻撃者がネットワーク内探索している事実が判明する場合もある。
四つ目に、システム内で発見したサイズの大きい不審なファイルは、攻撃者がネットワーク内で窃取した情報の送出前にファイルを保存して正常なファイル名や種類に隠蔽したものである可能性があるため、ファイル管理ソフトを通じてファイル確認した方がよい。
五つ目に、異常な接続を見つけるためにはネットワーク監視ログを絶えず確認する必要がある。ネットワークやネットワーク内での活動に精通することで、普段トラフィックの少ない時間帯にネットワークの活動が確認された、など攻撃の兆候の可能性に気づくことができる。
六つ目に、異常な接続に関連して、攻撃者はネットワークで許可されれいるプロトコルを元に利用プロトコルを選ぶことがあるため、接続に使用されているプロトコルを確認することが重要になる。
最後に、特定の人物に対して奇妙なメールが急増している場合には、その人物に関連した情報窃取のためのスピアフィッシングメールの標的となっているなどの可能性があるためメールのログを確認した方がよい。
