トレンドマイクロの標的型サイバー攻撃分析レポートが出ています。

3．単体の不審な通信イベントログのみでは、攻撃の有無を判別することが困難に

標的型サイバー攻撃を行う攻撃者は、遠隔操作ツールにより社内端末を乗っ取った後、図1に示すような内部活動により、ネットワーク内の他の端末にも侵入し、0〜3のステップを踏んで目的の情報を窃取しようとします。管理者権限奪取のプロセスでは、「WCE（Windows Credential Editor）」や「MIMIKATZ」などこれまでに確認された正規ツールに加え、2015年は正規ツール「Quarks PwDump」の悪用も確認されました。これは、特定のツールの使用のみを監視していても、攻撃に気づかない可能性があることを示しています。

また当社がネットワーク監視を行った事例100社のうち、遠隔操作ツールが確認された事例と未確認の事例を比較すると、2種類以上の不審な通信イベントログが確認された事例では100%の確率で遠隔操作ツールが確認されました（表2）。一方で、1種類のみ不審な通信イベントログが確認された事例では、遠隔操作ツールの確認率は0%となりました。不審な通信イベントログ単体のみでは、標的型サイバー攻撃の有無を判断することが難しく、内部活動の攻撃シナリオに基づき、複数の不審な通信イベントログを組み合わせて監視することが重要といえます。

「国内標的型サイバー攻撃分析レポート 2016年版」を公開 | トレンドマイクロ