ここ数年、標的型攻撃の件数が著しく増加している。この状況を受け、攻撃を検出する仕組みも開発が進んでいる。例えばトレンドマイクロの「SPuNge」という標的型攻撃検出支援システムがその一つだ。
トレンドマイクロによれば、標的型攻撃と広範な無作為攻撃を分ける要素は、単純にその動機と被害者だ。実際に使われているツールはほぼ変わらない。例えば50カ国にわたる多数のユーザーに感染するリモートアクセスツール(RAT)は広範な無作為攻撃とみなされるが、原子力発電所のみを標的にした同様の攻撃は標的型攻撃となる。いずれも使われているツールは同じだが、動機と標的が異なる。
標的型攻撃について1つ明らかなのは、検出が難しいということ。これまで標的型攻撃の検出についてはそれほど研究がなされていない。
トレンドマイクロが提案するSPuNgeは、同社のセキュリティ技術基盤「Smart Protection Network」で提供されるフィードバックから収集した脅威情報を処理し、より詳細に調査するべき潜在的攻撃を見つける。クラスタリング技術と相関技術を組み合わせ、アクセスする不正リソースに対して共通の振る舞いをする一連のマシンを特定し、感染マシンが使われている場所や業界を相関づける。
例えばテキストベースの階層型クラスタリング技術を使い、ホスト名やパス、クエリー文字列に共通のパターンを持つ類似の不正URL群を探し出す。これらとユーザーのマシンの情報(IPアドレスなど)とを照合し、同様の脅威の影響を受けている一連のユーザーを特定する。最後に、これらグループと業界情報および位置情報を自動的に関連づけ、潜在的な標的型攻撃を検知する。
トレンドマイクロは、SPuNgeを使って、2000万人以上のビジネスユーザーから集めたフィードバックを詳細に調べ、影響を受けているシステムを特定するテストを実施した。テスト結果から、SPuNgeがサイバー犯罪対策を支援する有力なツールになることを確認できたとしている。
