今回はまず、高度で執拗かつ継続的な攻撃(APT攻撃)の検出方法についてのブログを紹介する。トレンドマイクロが、APT攻撃の後半過程「Lateral Movement」について、概要を解説している。
Lateral Movementは、最初に入り口となるコンピュータのセキュリティを侵害(Attack)し、マルウエアが攻撃者との通信を確立(Command & Control)したあとの段階を指す。Lateral Movementでは、攻撃者は通常、コンピュータの標準機能を使って、気づかれないようにネットワーク内を動き回る。
APT攻撃が深く進むほど、ネットワークが受ける影響は大きくなる。Lateral Movementの段階に達すると、従来のセキュリティ機能ではほぼ検知できない。こうなると攻撃者がより高度な権限を獲得してAPT攻撃の新たな段階に進むのを許してしまうことになる。
APTの段階とネットワークに与える影響の関係
Lateral Movementはさらに「偵察」「資格奪取」「コンピュータ侵入」に分けられる。まずOSに標準搭載されているnetstatコマンドなどのツールやユーティリティーを使って偵察し、次の攻撃に必要な情報を収集する。十分な情報が手に入ると、ARPスプーフィングやキーロガーなどの手法により正当なアクセス権のデータを奪取する。盗んだ権限を用いて、他のコンピュータに入り込み、本来の攻撃目標に近づく。
OS標準の機能を使われた場合、ブラックリスティングやペリメータ制御モデルといった基本的なセキュリティ手法では防げない。しかし、企業はアプリケーション管理や、セキュリティおよび情報イベント管理、あるいはカスタムな防御手段を導入することでセキュリティを強化できると、トレンドマイクロは述べている。
同社が推奨する対策では、企業は社内ネットワークのナレッジと社外の攻撃検知事象から脅威インテリジェンスを構築する必要がある。脅威インテリジェンスとカスタムな防御手段を組み合わせることにより、IT担当者はコンピュータの標準機能の不審な使用に気づき、ネットワークをAPT関連の行動から守ることができるとしている。
