トレンドマイクロ、標的型攻撃の兆候を知る7つのポイントを公開

トレンドマイクロは8月25日、企業のネットワークを狙う標的型攻撃の兆候を知るためのポイントを同社のセキュリティブログで公開した。

兆候を知るためのポイントは以下の7点。

• 改ざんにより組み込まれたDNSレコードがないか確認

• 失敗したログイン、もしくは不規則な時間にログインしたアカウントを精査

• セキュリティ対策製品の警告を再確認

• サイズの大きな不審なファイルに注意

• 異常な接続を見つけるためにネットワーク監視ログを精査

• 異常なプロトコルを確認

• 急増する Eメールに注意

「改ざんにより組み込まれたDNSレコードがないか確認」では、IT管理者がネットワーク上に改ざんされたDNSレコードがないかを確認する作業のこと。改ざんされたDNSコードは、「127.0.0.1, 127.0.0.2」「255.255.255.254」「255.255.255.255」「0.0.0.0」「1.1.1.1」といった不信なドメインを利用するため、調査によって攻撃の兆候を突き止めることができるとしている。

「失敗したログイン、もしくは不規則な時間にログインしたアカウントを精査」では、サーバーへのログイン履歴を調べること。複数回のログインの失敗や不規則な時間のログインは、攻撃者がネットワークに侵入しようと試みた可能性があるとしている。

「セキュリティ対策製品の警告を再確認」では、セキュリティ対策製品の警告を出したにも関わらず、ユーザーがその警告を無視することの危険性。警告されたファイルがユーザのよく知るファイルであったとしても、攻撃者がネットワーク内にいることが確認された事例が多いという。

「サイズの大きな不審なファイルに注意」は、システム内にあるサイズの大きいファイルは、ネットワーク内で窃取した情報が含まれている可能性があるため、確認するべきであること。攻撃者は、情報送出前に標的にしたシステム内にファイルを保存し、一見正常なファイル名やファイル種類に隠ぺいすることがよくあるため、管理者がこうしたファイルを確認するべきだとしている。

「異常なプロトコルを確認」は、システムへの異常な接続に使用されているプロトコルを確認すること。特にネットワーク内に入ってくるプロトコルは注意が必要で、攻撃者はネットワークで許可されているプロトコルを元に、利用するプロトコルを選ぶことが頻繁にある。そのため、通常のプロトコルが使用されている場合でも、接続を確認することが重要だという。

「急増するEメールに注意」は、IT管理者がメールのログを確認し、特定の人物に対して奇妙なメールの急増がないかを確認すること。メールの異常な増加は、その人物がスピアフィッシングメールの標的となっている可能性があるとしている。