図●サンプルとしたネットワークおよび「攻撃発生環境」で確認された挙動や「攻撃特定率」などのグラフと表(トレンドマイクロの資料から引用)
図●サンプルとしたネットワークおよび「攻撃発生環境」で確認された挙動や「攻撃特定率」などのグラフと表(トレンドマイクロの資料から引用)
[画像のクリックで拡大表示]

 トレンドマイクロは2014年3月24日、同社が2013年中に確認した、社内ネットワークに侵入した攻撃者の振る舞いに関する解析結果を、日経コンピュータの取材に対して明らかにした。攻撃が発生したネットワークでは、ファイルの転送などの痕跡を消去しようとする挙動が必ず見られたという。

 トレンドマイクロでは、同社のネットワーク監視サービスを利用している企業・組織をサンプルとして100件抽出。そのうち、実際に攻撃を受けた企業・組織において、攻撃者はどのような行動をしたのかを解析した。侵入後に攻撃者が行う挙動が分かれば、攻撃発生を検知するヒントになる。「実際の攻撃を基にした解析データを公表するのは、他のベンダーにおいても過去に例がないだろう」(トレンドマイクロ)。

 今回の解析では、PCを遠隔から操作するプログラム「RAT(Remote Access ToolあるいはRemote Administration Tool)」が確認されたネットワークを「攻撃発生環境」と定義。サンプルとして抽出されたネットワーク100件のうち、攻撃発生環境は49件だった。

 サンプル100件のうち、特定のユーザーによって「ファイル転送」「リモート実行」「痕跡消去」の三つが行われたネットワークは3件。そのいずれもが攻撃発生環境だった()。つまり、これらの挙動は、攻撃者(実際にはRAT)によって行われている可能性が高いと考えられる。

 なお、ここでの「ファイル転送」はネットワーク内の他のコンピュータに実行形式ファイルを転送(コピー)すること、「リモート実行」は転送したファイルをリモート(遠隔)から実行すること、「痕跡消去」はファイル転送やリモート実行の痕跡をログから消去すること。

 そのほか、「ファイル転送」と「痕跡消去」の二つだけが見られたのは1件。この1件も攻撃発生環境だった。また、「ファイル転送」と「リモート実行」の二つが見られたのは15件で、これも15件全てが攻撃発生環境だった。

 以上のように、「ファイル転送」「リモート実行」「痕跡消去」、「ファイル転送」「痕跡消去」、「ファイル転送」「リモート実行」いずれかの組み合わせが見られた場合の「攻撃特定率」は100%になる。これらのように、攻撃特定率の高い挙動を、実際の攻撃者の行動から明らかにすれば、攻撃の検出に役立つとする。

 今回の解析データは、2013年中に同社が観測した標的型攻撃の特徴などをまとめたレポートの一部として、今週中に公開される予定である。