サイバー攻撃レポート2018：「正規」を隠れみのとする標的型攻撃への対策は？

要約

　標的型サイバー攻撃に関して、2017年に報道された重大な情報漏えい被害はほとんどなかったが、安心はできない。大手セキュリティベンダーのネットワーク監視対応では、約70％で標的型攻撃の兆候が検知されており、そのうち約40％でRAT（遠隔操作ツール）の活動が確認された。ネットワーク監視を行っていない企業が侵入に「気付けていないだけ」という可能性も少なくない。

　確認された攻撃の中でも目立った手法が、Windowsの標準コマンドや正規ツールなどを隠れみのとする攻撃だ。不正コードやDLLインジェクションなどによる正規プロセスへの寄生、ファイルレス活動などによる攻撃が増え、検知を困難にしている。さらにRATの行動を補佐する目的で、PowerShellやJScript、VBScriptなどのスクリプトを利用する手法も確認され、セキュリティ対策による検知を免れる活動といえる。

　また、国内で使用が確認されたRATのうち60％を占める上位4種は、同一の攻撃者グループによるものと推測される他、日本以外のアジア諸国で活動していたRATの初上陸が判明するなど、国内組織を狙う標的型攻撃は依然として活発だ。本資料では、このような2017年のサイバー攻撃動向から、有効な対策を探る。