ビュー:

Trend Micro Endpoint Sensorでは、分析されたファイルを標的型攻撃の6つのステージに基づいて分類します。

表 1. 標的型攻撃の6つのステージ

ステージ

挙動の説明

情報収集 (Intelligence Gathering)

簡単に手に入る公開情報、ネットワーク検索ツール、ソーシャルメディア、およびその他のソースを使用して広範な調査を行い、成功の見込みのある初期侵入を特定して、既存の防御の構造を明らかにします。

初期侵入 (Point of Entry)
次のような手口や手法を使用してネットワークに侵入します。

  • 不正な添付ファイル、または不正URLへのリンクを含むメールを送信する

  • 正当なWebサイトを感染させて不正プログラムをダウンロードさせる

  • 対象のシステムを直接ハッキングする

  • パートナーのネットワークに侵入し、通常の通信を介して紛れ込む

  • 安全でない、またはサードパーティのネットワークを使用する (ホテル、喫茶店、空港など)

  • USBまたはその他のリムーバブルストレージメディアを介して攻撃コードを配信する

C&C通信 (Command & Control (C&C) Communication)

C&Cサーバとの通信を開始して情報を提供し、指示を受け取り、その他の不正プログラムをダウンロードします。これにより攻撃者はセキュリティ対策やネットワークについての新しい情報にアクティブに対応できるようになります。C&Cトラフィックは、さまざまな通信および暗号プロトコルを使用して、信頼されるIPアドレスまたは不正なホストから送受信される場合があります。

内部活動 (Lateral Movement)

システムからシステムに移動するために使用できるネットワーク内のその他の資産を特定します。ディレクトリ、メール、および管理サーバを検索してネットワークの内部構造をマップし、これらのシステムにアクセスするための認証情報を取得します。

情報探索 (Asset/Data Discovery)

選択されたポートの検索や内部トラフィックの監視などにより、最も価値のあるデータを含む特定のサーバおよびサービスを見つけます。

情報送出 (Data Exfiltration)

暗号、圧縮、およびその他の活動を偽装する手法を使用して、抽出と収益化のためにデータをコピーします。データは外部の場所に転送され、ブラックマーケットで販売されます。

攻撃の共犯 (Attack accomplice)

攻撃に関係する他の不正プログラムの所定の動作を支援する機能を実行します。

ユーザ指定 (User defined)

ユーザ指定のIOCファイルで指定されたファイルです。

詳細については、次のWebサイトにあるドキュメントを参照してください。

http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/apt/index.html