カスペルスキー、2019年にインシデント対応したサイバー攻撃の分析結果を発表
- 2020/09/17 10:00
- SecurityInsight
カスペルスキーは9月11日、同社のグローバル緊急対応チーム(GERT)が2019年にインシデント対応したサイバー攻撃を分析したところ、その約30%で正規のリモート管理運用ツールが使用されていることが分かったことを発表した。
攻撃者は正規のツールを使用することで、より長い間、検知を免れることができる。分析の結果、サイバースパイ攻撃と機密情報窃取の持続期間は122日(中央値)だった。カスペルスキーの「インシデント対応分析レポート」(英語)では、実際のインシデント対応をもとにした分析結果を報告している。
GERTがインシデント対応(IR)した際の匿名化されたデータを分析したところ、18種類の正規ツールが攻撃者によって悪用されていた。最も多かったのはPowerShell(25.4%)で、これは極めて便利なスクリプト言語だが、情報収集からマルウェアの実行まで多岐にわたる目的で利用される可能性がある。
2番目に多かったのはコンソールアプリケーションPsExec(22.2%)の悪用で、遠隔地にあるエンドポイント上での処理の実行を目的としていた。3番目に多かったSoftPerfect Network Scanner(14.3%)は、ネットワーク環境に関する情報収集を目的に利用されていた。
正規ツールの動きは、サイバー犯罪の一部にも、IT管理者の定期タスクの一部にもなり得るため、セキュリティソリューションが攻撃として検知することはより困難。その例として、1か月を超えて続いた攻撃区分を見てみると、サイバーインシデントが発生していた期間の中央値は122日であり、その間にサイバー犯罪者は攻撃対象から機密情報の収集が可能だったことが分かった。
しかしGERTのエキスパートは、正規のソフトウェアの悪用が即時に露わになる場合があると指摘。例えば、正規のソフトウェアはランサムウェア攻撃で多用されるが、その結果は明白なため、短期間の攻撃区分での攻撃継続期間の中央値は1日だった。