シグネチャ効かないサイバー攻撃に「脅威ハンティング」で対抗を - JPCERT/CC
マイナビニュース / 2024年7月2日 14時51分
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)はこのほど、「Volt Typhoonの攻撃キャンペーンにどう備えていくべきなのか ~将来の攻撃に備えるThreat Huntingのアプローチについて考える~ - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、注意喚起した環境寄生型のサイバー攻撃キャンペーン「Operation Blotless」への対抗策として、脅威ハンティング(Threat Hunting)を紹介した。サイバー攻撃キャンペーン「Operation Blotless」については「日本の組織狙う環境寄生型サイバー攻撃、JPCERT/CCが警戒呼びかけ | TECH+(テックプラス)」にて解説している。
○環境寄生型のサイバー攻撃への有効な対策
JPCERT/CCは、環境寄生型のサイバー攻撃についてて、中国の国家支援を受けていると見られる脅威グループ「Volt Typhoon」の攻撃例を取り上げて解説している。JPCERT/CCによると、Volt Typhoonは標的への攻撃にボットネットおよび標的の環境内に存在するソフトウェアを使用して、短期間に情報窃取のみを行うとされる。
このため、被害環境には攻撃を識別するための情報がほとんど残らず、既知のデータに基づく防衛策が機能しない。また、攻撃者はボットネットを使用することで標的の近くのデバイスを攻撃元に使用できるため、IPアドレスおよび地域に基づいたアクセス制限は意味をなさない。
このような攻撃に対しては、セキュリティ侵害インジケーター(IoC: Indicator of Compromise)およびシグネチャを活用した従来の防衛策は機能しないと考えられる。そこで、JPCERT/CCはこのような攻撃への有効な対策として、脅威ハンティングを指南している。
○脅威ハンティングの概要
脅威ハンティングは攻撃者特有の活動を検出して被害を軽減する防衛手法。戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)に基づいた検出や、普段とは異なるシステムおよびネットワークの動作や負荷を検出する。
脅威ハンティングを導入するには、正常時の活動を事前に把握しておく必要がある。通常は過去の多種多様なログからシステムの活動を分析するが、ログが足りない場合は新たに収集する必要がある。このログの収集は複数の部門間に渡ることがあるため、事前の調整が必要とされる。
JPCERT/CCは社内の関係者を納得させるため、Volt Typhoon対策だけを目的として脅威ハンティングを導入するのではなく、ランサムウェアおよび内部の不正操作を防止する目的も含めて導入を検討することを推奨している。
(後藤大地)
外部リンク
この記事に関連するニュース
-
S&J、『Active Directory監視サービス』はOperation Blotless攻撃キャンペーンの検知が可能。独自開発エージェントによる調査レポート無償トライアル開始
PR TIMES / 2024年7月2日 14時0分
-
日本の組織狙う環境寄生型サイバー攻撃、JPCERT/CCが警戒呼びかけ
マイナビニュース / 2024年6月27日 8時28分
-
フォーティネット、FortiGuard Labs による最新グローバル脅威レポートを発表
Digital PR Platform / 2024年6月20日 15時26分
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
PR TIMES / 2024年6月19日 15時45分
-
Windows狙うマルウェア、AndroidとmacOSまで標的広げて攻撃中
マイナビニュース / 2024年6月15日 18時18分
ランキング
-
1「WAON POINT」と「WAONポイント」の違いとは? 若干キャラクターも違う(菊地崇仁)
ポイ探ニュース / 2024年7月1日 7時1分
-
210万円以下でOffice作業もテレビ会議もお手の物なシンプル15.6型PC
ASCII.jp / 2024年6月30日 10時0分
-
3楽天ポイント⇒ANAのマイル交換サービスが再開
ポイ探ニュース / 2024年7月1日 15時57分
-
4美容師に「ショートカットNG」と断られ続けた女性、プロがバッサリカットすると…… 驚きの大変身に「女優さんみたい」「めっちゃハマってる!」
ねとらぼ / 2024年7月1日 22時0分
-
5「褒めることもあれば文句もある」 純烈メンバー卒業発表で「賛否」あったことを明かす 謝罪と今後についてコメント
ねとらぼ / 2024年7月1日 21時47分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)