トレンドマイクロ岡本さんから、標的型攻撃の今。C2が日本設置じゃなくなってきたんですね。

日本年金機構が標的型攻撃を受けて大量の個人情報流出が生じたのは2015年5月。まだ記憶に新しい。2015年を振り返ると、やはりこの影響は大きかった。トレンドマイクロが発表したレポート(参考：国内標的型サイバー攻撃分析レポート)から標的型攻撃と2015年の傾向を振り返る。

変化を続ける標的型攻撃、2015年の傾向と新たな手口：EnterpriseZine（エンタープライズジン）

トレンドマイクロのセキュリティエバンジェリスト岡本勝之氏は、標的型攻撃の本質を示すキーワードを3つ挙げた。「継続」、「隠蔽」、「変化」。標的型攻撃は「継続」的に行い、ばれないように存在を「隠蔽」したり、自分の姿を「変化」させたりするからだ。

変化を続ける標的型攻撃、2015年の傾向と新たな手口：EnterpriseZine（エンタープライズジン）

標的型攻撃というと、大きな特徴に遠隔操作用サーバーがある。2015年前半（1月〜6月）と後半（7月〜12月）で遠隔操作用サーバーの設置国の割合を見ると、日本の割合が44％から27％とぐんと減っている。岡本氏によると日本年金機構の事象が大きな警笛となり、標的型攻撃への調査が厳しくなり、結果的に日本における遠隔操作用サーバーがテイクダウンされるなど絶対数も割合も減ったという。

変化を続ける標的型攻撃、2015年の傾向と新たな手口：EnterpriseZine（エンタープライズジン）

同様に内部情報窃取の手口として、マイクロソフト社の管理者用正規ツール「DSQUERY」、「CSVDE」を悪用してActive Directoryサーバー内の情報を窃取するものも確認されている。これはサーバー内のデータをエクスポートするもので、組織内の情報収集に使われる。

変化を続ける標的型攻撃、2015年の傾向と新たな手口：EnterpriseZine（エンタープライズジン）

今後の攻撃について岡本氏は「標的組織周辺への攻撃範囲拡大」と「攻撃者や攻撃手法の分業化」を挙げる。前者は攻撃対象の範囲を広げて侵入の機会を増やし、最終的な目的に到達する成功率を高めるということと。後者は攻撃手法を長期間継続する「潜伏型」と迅速に情報を奪う「速攻型」など、使い分けが見られていることを指す。

変化を続ける標的型攻撃、2015年の傾向と新たな手口：EnterpriseZine（エンタープライズジン）