企業・組織の現場担当者は巧妙化する標的型サイバー攻撃への対応を迫られ続けている。トレンドマイクロがインシデント対応で培った知見を基に、攻撃者がどんな目的で攻撃するのかを解説し、実践的な対策を提案する。
連載
サイバークライムアナリストが明かす標的型攻撃の実像
目次
-
手法再現で理解する、標的型攻撃を受けた端末は一体何をされるのか(3)
攻撃者は、目的を達成すると自身の活動の痕跡を偽装したり、消去したりします。痕跡消去の代表的な手法はWindowsのイベントログなど、各種ログの削除があります。実際には、サーバーのイベントログなどのローテイトサイクルを悪用して削除タイミングにシステムの時刻をずらし、自身の認証情報を隠ぺいし時刻を戻す…
-
手法再現で理解する、標的型攻撃を受けた端末は一体何をされるのか(2)
攻撃者は管理者権限を取得後に、機密情報を入手するためにネットワーク内の探索を行います。一般的に、「ipconfig」「net view」「netstat」といったWindows標準のコマンドを使用します。また、Active Directoryのオブジェクトを検索する「dsquery」ツールやAct…
-
手法再現で理解する、標的型攻撃を受けた端末は一体何をされるのか(1)
標的型サイバー攻撃が、その標的に特化した攻撃を継続的に行うと言われるゆえんについて、国内のある企業が標的型サイバー攻撃を受けた際に発見された不正プログラムのコードの例を用いて説明します。
-
攻撃者視点で考えるサイバーアタック、異常すぎる「普通の動き」を検知できるかがポイント
2015年は、著者のようなサイバー攻撃のインシデント対応に従事する者にとって、大変忘れがたい年となりました。2015年6月の日本年金機構への標的型サイバー攻撃による情報漏えい事件以降、国内の多数の企業・組織が標的型サイバー攻撃の被害を公表したからです。
