ホーム製品・サービスFireEye導入・運用支援サービス > 標的型攻撃とは

製品・サービス情報

標的型攻撃とは
あなたの会社のサーバも狙われている!標的型攻撃とその対策!

● 「FireEye」導入でわかった! 標的型攻撃の実情とクロージングの重要性

近年、企業や官公庁の機密情報を狙う「標的型攻撃」が急増しており、その手口は複雑化、巧妙化しています。ここでは「FireEye」の導入によって判明した標的型攻撃の実情、見落とされがちな「感染判明後の対処」についてご紹介します。

FireEye導入でわかった事実

  1. 実在の人物からメールが届く 〜より巧妙化する攻撃〜
  2. 導入した企業の約9割でマルウェアが検出される
  3. クロージングの重要性 〜検出した攻撃への対処〜

実在の人物からメールが届く 〜より巧妙化する攻撃〜

● 標的型攻撃の脅威

下の図は、攻撃開始から封じ込めまでの各フェーズにかかる時間を表したものです。多くの場合、攻撃者は最初の攻撃から数分で機密情報にたどり着き、これを盗み出してしまうことがわかります。一方で、攻撃を受けた方は数カ月にわたって気がつかないケースが多く、攻撃の早期発見が重要であることがわかります。

表

ここでは実際に「FireEye」が検出した標的型攻撃に使われたメールを検証しましょう。
差出人は実在の人物ですが、署名のスペルが間違っているなど、不審な点がいくつか見られます。しかし、パッと見でこれらに気づくことは難しく、ほとんどの方が本物と信じてしまうのではないでしょうか。
このメールにはPDFファイルが添付されていましたが、このファイルにはPDFの脆弱性を突いた攻撃が仕込まれており、うっかり開くとマルウェアに感染しまうおそれがあったのです。また別の攻撃では、本文中にマルウェアをダウンロードさせるURLが書いてあるケースもありました。

標的型攻撃の傾向
  1. 実在の人物だが、よく見ると不審な点がある
  2. PDFの脆弱性を悪用する
  3. 本文中にマルウェアをダウンロードするURLが書かれている

導入した企業の約9割でマルウェアが検出される

標的型攻撃は、検出を逃れようと絶えず進化し続けており、不正プログラムを分割して送付するなど、次々に新しい手口が考え出されています。こういった手口は、もはや従来の対策では検出できません。実際、「FireEye」を導入すると、既に何台かの社内PCがマルウェア感染していることが発見されるケースがほとんどです。

標的型攻撃は絶えず進化し続ける!
被害にあった企業の例

  • 感染3件、ダウンロード7件、リスクのあるソフト11件が発見される
  • 最も多く検出されたマルウェアはConficker

クロージングの重要性 〜検出した攻撃への対処〜

標的型攻撃に限ったことではありませんが、企業などでセキュリティインシデントが発生した場合、迅速・的確な対処が必要です。具体的には下記に挙げたような内容になりますが、専門知識も必要で負担も大きくなります。

インシデントレスポンス
  1. 検体・URLの詳細調査
  2. 対象PC隔離(トリアージ)
  3. 対象PCへのワクチン投与・イニシャライズ・ファイアウォール/プロキシの設定変更など

● 標的型攻撃の一般的な対処フロー

フロー

● FireEyeを活用したNVCからの提案

事前対策 「FireEye」の導入により、複雑化、巧妙化する標的型攻撃を検出、防御が可能になります。もちろん、防御できる脅威は標的型攻撃に限りません。
事後対策感染が発覚した場合でも、インシデントレスポンスとして企業が対処しなければならない部分を、豊富な実績とノウハウを持つNVCが代行。運用面も手厚くサポートします。

フロー

運用面でのお手伝い: インシデントレスポンス
  1. 検体・URLの詳細調査:
    • 「FireEye」で検出したマルウェアの詳細な分析を行います
  2. 対象PC隔離(トリアージ):
    • 感染による影響を分析し、対策の優先度を決定します
  3. 対象PCへのワクチン投与・イニシャライズ・ファイアウォール/プロキシの設定変更など:
    • 対象PC隔離 (トリアージ) により決められた優先度に応じて、影響を受けた各所への対策を行います

製品・サービスの詳細については、03-5714-2041 または下記フォームにてお問い合わせください。 問い合わせフォーム