トレンドマイクロは2014年3月末、企業のネットワークに侵入した攻撃者の行動に関する調査結果を公表した。攻撃者が侵入したネットワークでは、ファイル転送の痕跡を消去しようとする挙動などが必ず確認されたという。

 トレンドマイクロでは、2013年中に同社のネットワーク監視サービスやインシデント(セキュリティ事故)対応サービスなどを利用した企業のネットワークをサンプルとして100件抽出。そのうち、実際に攻撃を受けたネットワークにおいて、攻撃者がどのような行動をしたのかを分析した。侵入後の攻撃者の行動が分かれば、攻撃発生を検知するのに役立てられるためだ。「多数の攻撃事例を基にした分析データを一般に公表するのは今回が初めて。他のベンダーでも例がないだろう」(トレンドマイクロの染谷征良セキュリティエバンジェリスト)。

 サンプルとしたネットワーク100件のうち、攻撃者が侵入した痕跡を発見した「攻撃発生環境」は49件。この49件で確認されて、残りの51件では確認されなかった挙動があれば、その挙動によって、攻撃発生を検知できることになる。