Threatpost - The First Stop For Security News

7月6日(米国時間)、Threatpostに掲載された記事「Most Post-Intrusion Cyber Attacks Involve Everyday Admin Tools|Threatpost|The first stop for security news」が、ネットワークへの侵入を果たした攻撃者は、侵入したネットワーク内部ではマルウェアや攻撃専用のツールではなく、一般のネットワーク管理者が使っているツールを使って活動をしていると伝えた。このため、侵入されたあとに検知することが難しく、長期にわたって侵入された状態を許す結果になっていると指摘している。

ネットワーク侵入後によく使われているアプリケーションとして、Angry IP Scanner、Nmap、SecureCRT、TeamViewer、WinVNC、Radminなどが挙げられているほか、Webブラウザ、ファイル転送クライアント、デフォルトでインストールされているシステムツールなども利用されていると説明がある。

これらを活用した攻撃者の活動は、一見するとネットワーク管理者や一般ユーザーの振るまいと区別をつけにくいため、侵入されたことを検知することが難しいという。

ネットワークへの侵入には脆弱性、詐欺テクニック、エクスプロイトキットなどが使われるが、いったん侵入されてしまうとその痕跡を残さないために特別なツールは使われないことがある。こうしたケースでは、侵入されていること自体を検知することが難しく、長期にわたって不正アクセスを許すことになる。マルウェアは最初の侵入やネットワーク内部からのデータの窃取などに使われるが、それ以外は一般的にソフトウェアが使われているということで、こうした状況を加味した対策を取ることが望まれる。