TOP>製品/サービス>課題から探す>【ログ活用】標的型攻撃対策:組織内のマルウェア発見と挙動の可視化

【ログ活用】標的型攻撃対策:組織内のマルウェア発見と挙動の可視化

標的型攻撃への備え、問われる認識

今、企業や組織を標的とした標的型攻撃による被害が深刻化しています。

標的とされた企業では、Webサーバの改ざんによりサービス停止に追い込まれたり、クレジットカード情報が窃取されたことで顧客からの信頼が失墜し、事業の継続に深刻な影響を受けた事例があります。技術情報が流出した場合は、競合に対する競争力の低下を招くとともに、技術力の海外流出も心配されています。

既に様々なメディアで取り上げられているように、個人情報の流出には、賠償責任や企業ブランド失墜のリスクが伴うことが知られています。加えて2015年秋のマイナンバー法の施行により、これまで以上に特定個人情報を含む個人情報の管理徹底が迫られ、「情報は資産である」という認識がますます重要なものとして位置づけられています。

たとえ報道されていなくとも、水面下ではほとんど全ての企業や団体が標的型攻撃の脅威に晒されています。弊社で独自に確認をしたところ、業種や業界、規模を問わず、ほとんどのケースで組織内部のマルウェア侵入形跡が発見されました。今、まさに標的型攻撃対策は、全ての企業や団体にとって、現実問題として対策に取り組まなければならない事態に直面しています。

標的型攻撃の段階

では、標的型攻撃はどのように仕掛けられるのでしょうか。

標的型攻撃は、一般的に以下のような段階を経て目的を遂行しつつ、再侵入を繰り返すと言われています。

(1) 計画立案
  攻撃者は対象を設定して調査を行い、攻撃の計画を立案します。

(2) 攻撃準備
  攻撃者はC&Cサーバといわれる攻撃制御サーバを準備し、内部関係者を装った誘導メールを作成する
  などの手口で、マルウェア感染を仕向ける準備をします。

(3) 初期侵入
  組織内部の端末をマルウェア感染させ、組織に侵入します。

(4) 基盤構築
  侵入したマルウェアはバックドアを開設し、C&Cサーバとの通信基盤を構築します。

(5) 内部侵入、調査
  侵入したマルウェアは端末からサーバへ、組織内により深く入り込みます。

(6) 目的遂行
  侵入したマルウェアは情報の窃取や、Webサーバ改ざん、サービス停止などを実行し、攻撃者の目的を遂行します。

(7) 再侵入
  確保したバックドアを使って、再度の侵入を行います。


(1)~(3)までの侵入フェーズでは、攻撃者の明確な攻撃意思と工夫のもと、次々に未知の新しいマルウェアが生み出され、手口も巧妙化しているため、侵入を100%防ぐことは難しいとされています。

また、侵入したマルウェアが、ウイルス対策ソフトで数か月間検知されなかった事例も報告されています。

標的型攻撃対策ソリューション:侵入マルウェアの挙動を高精度で発見

標的型攻撃の攻撃フェーズと「BlackDomainSensor」対象範囲

 図1:標的型攻撃の攻撃フェーズと「BlackDomainSensor」対象範囲

ここで、標的型攻撃の段階を、改めて図1のように整理して考えてみます。

(3)のマルウェアが組織内部に入り込むまでは、未知のマルウェアの量産や手口の巧妙化により、100%の侵入阻止は難しいとされていますが、(4)(5)にあたるマルウェアの動きは、ある程度パターン化することが可能です。侵入したマルウェアが内部でバックドアを開設、C&Cサーバと言われる攻撃者との通信基盤の確立、端末を乗っ取る、という手口です。

そこでアシストでは、このパターン化が可能なマルウェアの挙動の「痕跡」に注目し、これを可視化することが、次の一手を打つために有効であると考えました。可視化には誰が見ても分かりやすいレポート化が必要であるため、ログの分析エンジンを組み込んだ「BlackDomainSensor」を提供しています。

「BlackDomainSensor」は、マルウェアが組織内に「存在する」ことを発見し、侵入後のマルウェアが、どこまで深く入り込んでいるのかを可視化します。

具体的には、ログの分析エンジンが、独自のC&Cサーバのリスト(※)と組織内のプロキシサーバの通信ログを突合せ、不正な通信を発見し、これを分析レポートとして日次で自動出力します。

これにより、マルウェアが組織内に入り込み、上記(4)基盤構築の段階にあることが発見でき、また、Active Directoryへの関与を含む4種類のレポートを出力することで、(5)内部侵入、調査の段階において、マルウェアがどこまで組織に入り込んでいるかを網羅的に把握することができます。

このソリューションは実被害を抑止するための次の一手を早期に、かつ正確に打てるようにするための「内部対策」につながります。

  • 独自のC&Cサーバのリスト(=以下、「BlackDomainリスト」)
    マルウェアを実行、分析し、感染後にアクセスするURL情報を抽出した一覧。

「BlackDomainSensor」‐マルウェアの挙動を12種類のレポートで分析

 図2:「BlackDomainSensor」‐マルウェアの挙動を12種類のレポートで分析

BlackDomainSensorについてのポイント

マルウェアの挙動を4種類のレポートで分析

  • 外部アナリストでなくとも、マルウェアの挙動が容易に把握できます。
  • レポートは日次で取得可能です。
  • 4種類のレポートで、マルウェアの挙動を把握できます。
  • アシストにて対策パターンを豊富にご紹介可能です。

 (4種類のレポート)

  • ファイアウォール通信レポート(BlackDomain通信)
  • プロキシ通信レポート(BlackDomain通信)
  • CONNECTメソッド通信レポート(許可ポート以外)
  • トラップアカウント認証失敗レポート

低コストで自社導入が可能

  • 高額な標的型対策ソフトウェアや外部診断サービスと比べ、低コストでの導入が可能です。
  • 独自のC&Cサーバリスト及びログの分析エンジンをサブスクリプションライセンスとして提供するため、初期費用を抑えることができます。

「BlackDomainSensor」レポートの例

 図3:BlackDomainSensorレポートの例

● 準備いただくサーバのスペック

CPU 2.4GHz以上、コア数6コア以上推奨
メモリ 12GB以上
ディスク モジュール導入領域:5GB
ログ蓄積領域:対象ログ容量による
OS Microsoft Windows Server 2008 (X64) / 2008 R2 / 2012 / 2012 R2

● 価格
  別途お問い合わせ(年間サブスクリプションライセンス)
   ※お試しいただくことも可能です。個別にご相談ください。

関連製品/サービス

BlackDomainSensor

「BlackDomainSensor」は、組織内に存在する既存のログを活用したマルウェア挙動監視システムです。信頼性の高いレポートにより、組織内のマルウェアの侵入と挙動をログから可視化します。

  • セキュリティログ分析エンジンを搭載
  • C&Cサーバの一覧「BlackDomainリスト」を提供
  • 標的型攻撃を発見する12種類のレポートを提供

詳細へ

お求めの情報は見つかりましたでしょうか

資料請求/お問い合わせはこちら(専門の担当者が確認し、ご対応します。)

標的型対策ソリューションについてのお問い合わせはお気軽に

セキュリティに関するその他の課題

ページの先頭へ戻る