巧妙化する標的型攻撃に備えよ 内部監視アプローチで 「深化」する攻撃を見抜く

内部対策の必要性とメリット

　ユーザアカウントは、標的型攻撃者がもっとも欲しがる情報の一つだ。管理者など高い権限を持つアカウントは、攻撃を進めるに欠かせない情報となる。 従って、攻撃者はまず Active Directory(AD) などのアカウント管理サーバを攻撃する。AD への攻撃は基本自律的に行われ、C&C サーバなどとの通信は発生しない。管理者のなりすましに成功した攻撃者は、本来正規の管理ツールであるPsExec.exeなどを悪用して、任意のコマンドを実行することで攻撃を進めていく。

この問題への対策として「内部対策」が必要と同氏は語る

トレンドマイクロ株式会社
ソリューション事業本部
ソリューション マーケティング部
プロダクトマーケティングマネージャー
横川 典子 氏

　「これは攻撃の「深化」です。インターネットとの通信を行わずとも攻撃が進んでいく。これを見抜くには、内部通信の監視。つまり、「内部対策」が必要です。

　AD サーバなどがあるサーバセグメントの前に監視ツールを置き、攻撃を早期発見することで、攻撃の「深化」を止めることが できます。」

　しかし、内部対策によって出口入口対策が不要になるわけではない。「あくまでも、多段防御アプローチが大切」と横川氏は語る。

出口/入口/内部を監視　トレンドマイクロの Deep Discovery Inspector^™

　インターネットとの接続点を監視して攻撃を検出するトレンドマイクロの Deep Discovery Inspector^™ （以下DDI) は、「出口/入口対策」はもちろん「内部対策も行えるソリューションだ。サーバセグメント前など、ネットワーク内部に設置することにより、PsExec.exeの不正利用や共有フォルダへのファイルドロップなど、外部通信を発生させずに行われる攻撃深化のプロセスを検出し、早期対策を可能にする。出口/入口対策とあわせて用いることで、多段防御が可能になる。

　Sandbox による解析をスケール化したい、という要望にも対応していく。2013 年前半にリリースを予定している拡張型Sandbox は、DDI やメールゲートウェイ製品などの間で共有できる「外付けSandbox」だ。カスタマイズ可能なため、実環境で用いられているPCなどと同じ環境の構築を複数用意することが可能であるため、スケーラブルな脅威分析が可能になる。

　セキュリティベンダとして20 年以上の経歴を持つトレンドマイクロはDDI などの製品による未知脅威の検出^※、検体の確保のみならず、その検証、パターン化による顧客への還元、救急対応など、お客様のビジネスプラットフォームであるネットワークを安全に保つ包括的なセキュリティを提供している。

　横川氏は語る。「DDI によって標的型攻撃に対する多段防御が実現できます。専門家による支援体制なども整えており、トレンドマイクロはお客さまのIT 環境を安全に保つお手伝いができるベンダーであると自負しています。」

　※すべての未知の脅威に対応するものではありません。