HOME情報セキュリティ「サイバーレスキュー隊(J-CRAT)分析レポート2016」を公開

本文を印刷する

情報セキュリティ

「サイバーレスキュー隊(J-CRAT)分析レポート2016」を公開

掲載日:2017年1月27日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

IPAは分析レポート「サイバーレスキュー隊(J-CRAT)分析レポート2016 ~長期感染の実態 一台の感染PCに残された攻撃痕跡の分析~」を公開しました。
 標的型攻撃は、従来型のセキュリティ対策では検知されにくいといわれています。標的型攻撃を受けた組織は、マルウェア感染によって、攻撃者からリモートアクセスツールを送り込まれ、それを足がかりに攻撃者は組織内ネットワークを横移動していき、感染が組織システムの奥深くまで拡がっていきます。標的型攻撃で使われるマルウェアは感染状態をそのまま保持することが多く、攻撃者が組織ネットワークから去った後も、その状態が継続されている事例がしばしば見られ、その感染期間は数年に及ぶこともあります。これらに気付くためには、感染するとどのような状態となるのか、攻撃者はどのような活動を行うのかを知っておくことが有用です。

長期感染のイメージ

 今回の分析レポートでは、J-CRATのレスキュー活動で入手した、標的型攻撃で使われるマルウェアに感染したPCに残されていた攻撃痕跡をもとに、攻撃者の挙動の推測や、攻撃過程で生成されたと思われるファイルの分析をおこない、攻撃を検知するための対策例や、調査方法例を紹介しています。
  • 攻撃痕跡は、できる限り実際の内容を紹介しており、システム管理者にとって、マルウェア感染嫌疑の際の調査項目の例になるようにしています。
  • 検知の対策例として、比較的取り組みやすいOS標準機能を中心にしており、システム構築時に考慮いただきたいログ収集のポイントもまとめています。
  • 調査方法の例は、システム管理者や感染嫌疑時に支援される事業者が利用することを想定して記載しています。
  • 調査時に必要なログは、あらかじめ適切に取得するよう準備が必要です。その準備ができているかを判断するひとつの目安として、チェックシートを付録につけています。

本レポートの目次

1. はじめに
 1.1. 本レポートについて
 1.2. 対象読者と目的について
2. 不審通信から攻撃インフラを分析する
 2.1. 不審通信とマルウェア
 2.2. 攻撃想定時期
 2.3. 長期感染
 2.4. 攻撃者が準備したドメインとIPアドレス
 2.5. マルウェアの挙動
3. 攻撃痕跡から攻撃者の挙動を推測する
 3.1. 攻撃者が利用したフォルダとファイル
 3.2. 攻撃者の行動を示唆する痕跡
 3.3. 攻撃のタイムライン
4. 攻撃の検知と調査の手法を検討する
 4.1. PCでの検知に関する課題と対策
 4.2. ログに関する考慮事項
 4.3. 感染嫌疑の調査例
 4.4. 調査方法補足
5. おわりに

付録 攻撃検知・痕跡確認対応度チェックシート
タイトル 公開日 ダウンロード
サイバーレスキュー隊(J-CRAT)分析レポート2016

2017年
1月27日

本件に関するお問い合わせ先

IPA標的型サイバー攻撃特別相談窓口
Tel: 03-5978-7599 Fax: 03-5978-7525 E-mail: 電話番号:03-5978-7599までお問い合わせください。