巧妙化する標的型攻撃に備えよ 内部監視アプローチで 「深化」する攻撃を見抜く

長期間潜み、企業や組織を攻撃し続ける標的型攻撃。攻撃手段は巧妙化し、既存の対策をすり抜けようとする。変化を続ける攻撃手法に対して今、どのような対策が求められているのか。

出口/入口対策、そして新たな内部対策アプローチへ

　標的型攻撃は標的に特化した攻撃手段を用いて行われる傾向があることから、侵入を前提とした「出口対策」が有効と言われる。侵入した脅威がさらに攻撃を進め「深化」するために、攻撃者側サーバであるC&C サーバなどと通信するのを見抜く方法だ。

　一方で、侵入を防御しようとする「入口対策」も求められるようになっている。未知脅威検出方法の一つとして、仮想環境上で疑わしいファイルを実行してみる、Sandbox が注目を集めている。

攻撃者側もその対策を見抜いているようだと、トレンドマイクロの横川氏は語る。

　「出口対策を回避するために、C&C サーバとの通信をできるだけ少なくしたり、Sandboxでの検出を困難にするために発症条件を複雑化させるなどの攻撃がみられるようになっています。この傾向は、攻撃者側が既存の対策を研究し、回避しようとしていることの表れです。」

図：組織内ハッキング活動