トレンドマイクロは4月15日、2014年に国内で発生した標的型サイバー攻撃の分析結果を発表した。企業や組織が講じているセキュリティ対策を突破する手法が次々に見つかり、検知や防御が非常に難しい状況にあると指摘している。
　
　　同社では2014年に国内の法人顧客から解析依頼のあった事案（総数は非公表）から、100件について攻撃の仕組みや手法などについて調べた。
　
　　攻撃者が利用する遠隔操作ツールは、2013年や2014年に登場したばかりの「EMDIVI」「PLUGX」が全体の67％を占め、2013年に23％を占めて最多だった“定番”ツールの「POISN.IVY」が9％に減少した。
　
　　遠隔操作に使われたサーバの44％が国内に置かれ、2013年の6％から大きく増加した。国内に置かれたサーバの約94％は、正規サイトが何らかの方法で攻撃者に乗っ取られたものだった。EMDIVIを使う攻撃は全て攻撃者が正規サーバを踏み台にしていた。
　
　　遠隔操作で使用されるポートでは80番（HTTP）が69％、443番（HTTPS）が19％を占めた。こうしたポートを使う通信の84％は標準プロトコルだった。
　
　対策の裏を突く
　
　　トレンドマイクロは、攻撃者が遠隔操作に国内のサーバを使うことで、監視の目を逃れる狙いがあるとみる。また、インターネット利用などのためにファイアウォールで塞がれていないポートやプロトコルを使うことで、正常な通信の中に悪意のある通信を紛れ込ませている。
　
　　外部からの遠隔操作などの通信を検知する場合、通信内容を詳細に解析する機能を持った「次世代ファイアウォール」を活用する手もあるという。例えば、EMDIVIはHTTP通信のヘッダーに特殊な符合や暗号化方式を使うことがあり、こうした特徴を次世代ファイアウォールで検知するようにすれば、攻撃を早期に発見できる可能性が高まるものの、次世代ファイアウォールの対策が追い付かないほど、攻撃者の手口は常に変化しているという。
　
　　また組織内に侵入した攻撃者は、IT管理者が使うコマンドやツールを“隠れ蓑”に使って、密かに不正行為をしている。不正行為は大きく「管理者権限の取得」「ファイル転送」「遠隔操作」「痕跡消去」の4段階に分かれ、10分程度で全てが実行されてしまうケースもあった。
　
　　「管理者権限の取得」は、ブルートフォース（総当たり）や「辞書攻撃」で遠隔からログインを試みる場合が多く、社内システムへのログインエラーが急増するなどの変化をIT管理者が把握できれば、早期対応がとれる。…