各企業における標的型攻撃への対策をサポートすべく、MylogStarの機能拡張及び取得する操作ログから、標的型攻撃を検知する為の設定ガイド(標的型攻撃対策ガイド)を用意しました。この設定により不審なアプリケーション実行・ログオン試行・データ転送・不審な行動(痕跡の消去)などを検知・把握することを可能とします。さらに検知した内容は管理者へアラートとしてメール通知することができます。これにより各企業は標的型攻撃(初期潜入段階~端末制御段階~内部活動段階)の進行段階に応じた状況の把握と、その対策の検討が可能になります。
標的型攻撃について
標的型攻撃とは 特定の組織内の情報を狙って行われる サイバー攻撃です。不特定多数に対する攻撃とは違い、明確な目的(情報の搾取や削除)を達成するために行われます。
攻撃手法としては、メールと不正プログラムの組み合わせによって行われることが多くなっています。巧妙に偽装されたメールを見破ることは難しく、不正プログラムはウィルス対策ソフトに検知されないことを確認して送られるため、ウィルス対策ソフトによる検知も期待できません。
また、標的となる組織への侵入するための足掛かりとして、関連する組織や個人が狙われる場合もあります。1つの狙いを達成するために長い時間(年単位)をかけることも珍しくありません。
標的型攻撃の特徴とMylogStar を使用した対策について
事前の検知が難しい標的型攻撃では、攻撃者やツールが残す特徴(痕跡)を検知することが重要となります。攻撃の進行状況に応じた特徴と、MylogStar で実施可能な対策は次のとおりです。
1. 初期導入段階
特徴
標的となる組織に対し攻撃者が侵入を試みる段階
- 不正アプリケーションを添付したメールを送信
- ウェブ改ざんによるダウンロードサーバーへの誘導
- USBなどの外部メディアを介しての潜入
対策
アプリケーションログによる不正アプリケーションの検知
イベントログによる不正アプリケーションの検知
2. 端末制御段階
特徴
端末を制御して標的となる組織から情報を盗み出すための準備を行う段階
- システム管理者権限の取得
- 遠隔操作手段の確立
対策
ユーザーログによる不正ログオンの検知
イベントログによるログオン失敗の検知
イベントログによる不正アプリケーションの検知
3. 内部活動段階
特徴
情報を盗み出して外部へ送信を行う段階
- データ収集サーバーへ機密情報を送信
- 活動痕跡の削除
対策
TCPセッションログによる不審な通信の把握
イベントログによる不正アプリケーションの検知
イベントログを削除した痕跡の検知
標的型攻撃対策におけるMylogStarの設定から検知までの流れ
標的型攻撃対策ガイド
MylogStar 3 Release5 以降では、標的型攻撃対策ガイドを用意しています。ガイドをご希望の方は下記より営業までお問い合わせください。
- 本ガイドでは標的型攻撃に対して MylogStar でできる対策をご紹介します。
