今回は、トレンドマイクロが、米大手新聞のニューヨークタイムズが受けた攻撃を題材にまとめた、解説記事から紹介しよう。
ニューヨーク・タイムズは数カ月前から同社システムが受けていた標的型(APT:Advanced Persistent Threat)攻撃について詳細を報告した。既に外部セキュリティ会社の協力を得て、攻撃者をネットワークから閉め出しているという。この報告が攻撃のライフサイクル全般にわたる概要を説明している点が興味深いとして、トレンドマイクロがブログで紹介している。
ニューヨークタイムズによると、同社はセキュリティ製品を導入していたものの、攻撃を阻止できなかった。同社が何の製品を使用していたかは不明だが、シグネチャーベースのエンドポイントセキュリティだろうとトレンドマイクロは推測している。
ニューヨークタイムズの説明では、攻撃者はまず、特定の個人の電子メールアカウントを通じて内部に入り込み、目的に応じた特定のマルウエアを用いてマルウエア制御(C&C)サーバーとやり取りする足場を確立した。それと並行して、全従業員の社用パスワードを盗み、入手したパスワードを使って別のシステムにアクセスした。具体的には従業員53人のパソコンで、そのほとんどはニュース編集以外の部門のものだった。攻撃の全工程を通じて45個のカスタムマルウエアが使われたが、重大なデータ漏洩はなかったという。ニューヨークタイムズは、早い段階で攻撃に気づき、攻撃を監視することで取るべき措置が分かったことが、機密情報流出を防止できた理由の1つだとしている。
今回のケースのように慎重で高度な攻撃は、従来ながらのシグネチャーベースのエンドポイントセキュリティだけでは防ぎきれない。多角的な標的型攻撃は、従来型セキュリティ製品による検出をすり抜けるよう工夫され、テストされている可能性がある。シグネチャーベースの製品を利用するにしても、ヒューリスティック検出や動的評価サービス、プロアクティブ型ネットワーク監視などを組み合わせた広範な戦略の1つとして考えるべきだとトレンドマイクロは指摘している。
