• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

サイバークライムアナリストが明かす標的型攻撃の実像

手法再現で理解する、標的型攻撃を受けた端末は一体何をされるのか(1)

平原 伸昭=トレンドマイクロ 上級サイバークライムアナリスト 2016/04/20 ITpro

 巧妙化する標的型サイバー攻撃。企業・組織の現場担当者からは、「自組織内に知見が少ない中、どうやって攻撃を発見・対処すべきか」という声が聞かれる。この特集では、攻撃者がどんな目的で攻撃するのかを解説し、企業・組織の現場担当者がどう対応すべきか、実践的な対策を提案する。

 前回の記事:攻撃者視点で考えるサイバーアタック、異常すぎる「普通の動き」を検知できるかがポイント

攻撃対象のホスト名を確認する不正プログラム事例

 標的型サイバー攻撃が、その標的に特化した攻撃を継続的に行うと言われるゆえんについて一例を用いて説明します。図2は、国内のある企業が標的型サイバー攻撃を受けた際に、発見された不正プログラムのコードの一部です。

 gethostname関数でホスト名を取得し、strupr関数で小文字を大文字に変換後、strstr関数で大文字にしたホスト名の最初の2文字をハードコードされた文字列と比較し、マッチしなければ、プログラムを終了する機能があることを示しています。不正プログラムが、自身の実行された環境が攻撃対象の環境かどうかを判断するための機能です。

図2●ある国内の標的型サイバー攻撃の事例で発見された不正プログラムの一部
[画像のクリックで拡大表示]

 2014年末に、ソニー・ピクチャーズエンタテインメント(以下、SPE)が標的型サイバー攻撃を受けたことを覚えている人もいるでしょう。そのときに使われたと思われる不正プログラムにも、社内ネットワークの管理者権限を持つアカウントとパスワードがハードコードされていました(図3)。

 これも、その環境に即した不正プログラムを使って攻撃されることを意味しています。先の事例で言うと、サンドボックスのホスト名が変更できない製品やクラウド型の共有サンドボックスを使用している環境下では、攻撃の検出が困難であることを示しています。

図3●SPEへの標的型サイバー攻撃に使用されたとみられる不正プログラムの一部
[画像のクリックで拡大表示]

標的型サイバー攻撃にサンドボックスは有効か?

 サンドボックスを使って不審なプログラムを検出する対策は、一定の成果は挙げられるでしょう。しかし、標的型サイバー攻撃全体の対策としては十分ではありません。

次ページ以降はITpro会員(無料)の方のみお読みいただけます。

次ページ サンドボックスは保護された領域内でプログラムを実...
  • 1
  • 2
  • 3
  • 4
  • 5

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る