トレンドマイクロは2013年8月21日、2013年上半期の国内における持続的標的型攻撃(APT)に関する分析レポートを公表した。持続的標的型攻撃とは、政府機関や企業をスパイ目的で狙う執拗かつ巧妙な攻撃のことを指す。同社が20社を調査したところ、攻撃サーバーとの通信に独自プロトコルを使うマルウエアが急増していることなどが分かった。

 攻撃者は関係者などのメールを装って、標的組織の職員・社員をマルウエアに感染させる。持続的標的型攻撃に使われたメールの添付ファイル100個を調査したところ、日本語のファイル名を用いて標的を騙す攻撃が60%を占めた。具体的には「貴社の製品故障について」「取材依頼書」「打ち合わせ議事録」「緊急地震速報訓練の協力について」といったファイル名だった。また、一太郎の脆弱性を狙うゼロデイ攻撃が3%あった。

 標的組織の職員・社員のパソコンがマルウエアに感染すると、攻撃者が内部に侵入してくる。今回の調査では攻撃者は侵入後、正規のツールを利用して社内のコンピュータにアクセスしていることが分かった。例えば、ほかのコンピュータにコピーした不正プログラムの実行には遠隔管理ツール「PSEXEC」を使う。活動痕跡を消去する目的でファイルを復旧できないよう削除するには、ファイル消去ツールの「SDelete」を利用するといった具合だ。

 トレンドマイクロは「ユーザーは、組織内で利用する正規ツールとその使用者や実行元を再確認し、正規ツールを利用する攻撃を特定することで、被害を防止できる」としている。

 組織内のパソコンに感染したマルウエアと攻撃サーバー間のバックドア通信100個の調査では、独自プロトコルを使う例が全体の47%で見つかった。これは前年同期の26%という数字の約1.8倍となる。一方、使われるポートは主要なプロトコルで使われるもの(ポート番号0~1023)が88%を占めた。攻撃者は組織内の正規サービスで使われるポートを使いつつ、独自プロトコルで通信して内容を隠蔽している格好だ。トレンドマイクロは非標準的な通信を遮断する対策を推奨している。