Endpoint Protection

 View Only

標的型攻撃におけるスパムの利用 

Jul 07, 2011 05:44 AM

標的型攻撃スピア型フィッシングAdvanced Persistent Threat(APT)といった用語が、最近はメディアでも頻繁に取り上げられるようになりました。ハッキングを受けた企業に関する報道が最近にわかに目立ったこともあり、各企業は次なる犠牲者となってニュースの見出しを飾ってしまうことがないよう、警戒を強めています。標的型攻撃に伴う重大な問題のひとつは、マルウェアが発見されたとき、自社が本当にその攻撃の標的なのかどうか、偶然マルウェアの被害者になっただけではないのか、その点を見きわめることです。そのためには、最初の感染源を突きとめる、マルウェア自体を解析するなど、いくつかの方法が考えられますが、攻撃者のほうも頭を使っており、偽装もその策略の一部です。

標的型攻撃で、初期段階のいずれかの時点で攻撃者のマルウェアが発見されるとしたら、攻撃者にとって最も望ましい展開は、標的企業の情報セキュリティ部門が問題を調査した結果、よくあるランダム攻撃だったという結論を下すことでしょう。そうなると、標的型攻撃の初期段階では、脅威を取りまく環境でよく見られる、ありふれたマルウェアや手口を使うことが、攻撃者にとって有効な手段になるもしれません。というのも、この方法を採った場合には、攻撃者自身が特別に細工したマルウェア本体をこっそり温存しておき、侵入に成功した時点で初めて使うことが可能だからです。情報セキュリティ部門では、この攻撃が自社のネットワークへのアクセスと機密データの盗取を狙って特別に設計されたものではない、と判断してしまう恐れもあります。そう判断された場合、マルウェアがネットワークに侵入したかどうかの検出が軽視されるとは言い切れませんが、脅威による損害の見積りが甘くなって修復の方針を誤る結果にもなりかねません。これは、当面の攻撃でも今後の攻撃でも、攻撃者にとって有利に働くでしょう。攻撃方法として効果が特に高いようには見えないかもしれませんが、標的型攻撃を疑われることなく類似の攻撃を何度も繰り返せる可能性があります。ひいては、そこから企業の防備の隙を見つける確率が高くなります。


 
このような攻撃がどう機能するかを示すサンプルシナリオを考えてみましょう。一見してありふれたスパムメールを、標的企業の多数の従業員に同時に送信します。メールには、ソーシャルエンジニアリングの要素を盛り込み、悪用ツールキットをホスティングしている Web サイトにアクセスするリンクをクリックするよう、ユーザーを誘導します。同一の企業内で多数の標的を狙うことによって、攻撃の基盤を広げ、セキュリティの弱い侵入口を見つける可能性も増やします。しかも、攻撃はごくありふれたスパムにしか見えません。この攻撃によってコンピュータの危殆化に成功すると、攻撃者は自由に利用できる脅威を、いくぶん変更したうえで(検出を回避する目的)ペイロードとして使用できます。このように修正して利用されうる脅威のひとつが、Trojan.Zbot です。Zbot には多くの機能がありますが、そのひとつとして、侵入先のコンピュータに対するリモートアクセスが可能なものがあります。Zbot がインストールされた侵入先のコンピュータは、さらに後続のネットワーク侵入や APT のインストールを許す足場として利用される恐れがあります。その後は、捕捉される危険を避けるためにコンピュータから Zbot を削除できます。Zbot の主な目的は金銭の詐取と考えられているので、仮に見つかっても標的型攻撃とは疑われないかもしれません。また、情報セキュリティ部門が攻撃や損害予想に関する詳しい調査に乗り出すのが遅くなるかもしれません。そうなれば、別のマルウェアがすでにネットワークに侵入しているという事実を、攻撃者が隠しやすくなります。

いつものことですが、脅威に備えるためには、ウイルス定義ファイルを最新の状態に保つようにし、スパム対策の技術も忘れずに導入してください。スパムメールメッセージの危険性を従業員に周知させることも、こうした脅威から会社を守るうえでは大きな役割を果たします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.