6月27日、トレンドマイクロは標的型攻撃対策の新製品「Deep Discovery Advisor」を発表した。同社が提唱するコンセプト「カスタム ディフェンス」の中核をなすサンドボックス搭載の脅威解析アプライアンスで、既存の「Deep Discovery Inspector」などと連携してITインフラの全体強度を高める。
断片をつないで相関関係を見極める
標的型攻撃の侵入手口に、メール添付したマルウェア付き文書ファイルを利用する方法がある。巧みにファイルを開封させてマルウェアをインストール、通常の通信ポートやプロトコルを使ってC&Cサーバーと会話し、重要な情報を盗み出す。
これらのファイルは、2012年上半期は文書アプリケーションの脆弱性を悪用したものが7割を占めたが、下半期は拡張子やアイコンを偽った実行ファイル形式が入れ替わりトップとなった。
2012年 標的型攻撃の侵入方法
通信経路はというと、80番ポートを使ったHTTP通信、443ポートを使ったHTTPS通信を利用するものから独自プロトコルを使うものまで、上半期と下半期とで様相が異なった。
2012年 標的型攻撃で利用される通信経路
このような状況について、トレンドマイクロ セキュリティエバンジェリスト 染谷征良氏は「敵は時期によって手口を変えているようだ。もっとも、すべて防ぐことができれば問題ないが、通常は利用されないポートや独自プロトコルについてはファイアウォールで対応できるものの、通常の通信だと判別するのが難しい。いわばグレーゾーンだ」と述べる。
トレンドマイクロ セキュリティエバンジェリスト 染谷征良氏
では、グレーな場合にどう対処すればいいのか。染谷氏は、次の3つの対策を提案する。
1つめは利用されている脆弱性やプロトコル、ポートを検出し、個々に絞った対策を行なうこと。これは基本中の基本で、染谷氏は「確実に抑えておくべき」と断言する。問題は残り2つのポイント。2つめはC&Cサーバーや通信の特徴に合った対策を施す。そして3つめは手法、ツール、基盤、通信を“点”で見るのではなく“線”でつなげて、相関関係に基づいた対策を実行するというものだ。新製品の「Deep Discovery Advisor」は、この2点を補完、強化するもので、標的型攻撃対策の肝となるという。
(次ページ、分析結果を既存製品と共有してブロック)
