2017年のサイバー攻撃は手がかりを「消す」--メモリ常駐型マルウェアへの対策：Kaspersky

　Kaspersky Labのグローバル調査分析チームGReATは11月16日、年次のサイバー脅威動向レポート「Kaspersky Security Bulletin」を公開した。2017年のサイバー脅威の傾向と予測を次の通りまとめたもので、2017年には新種のマルウェアなどの攻撃があったシステムついて、その脅威が存在することを示す「脅威存在痕跡」（Indicators of Compromise：IOC）の信頼性が低下し、調査の手掛かりが減少するとした。同社日本法人が11月22日、抄訳で伝えた。

　今回のレポートでは、現状でのサイバー脅威の傾向として、これまでマルウェアの特徴を共有し感染を検知する有効な手段であったIOCについて、その信頼性を低下させる状況が生じてきていると指摘している。GReATの分析によると、2016年に発見した標的型攻撃を行う犯罪グループ「ProjectSauron」のマルウェアプラットフォームは、すべての機能が標的ごとに変わるものであるという。これにより、IOCは別の標的を見つけ出す手段としての信頼性が低下し、「YARAルール」など別の手段との併用が必要になるとしている。なおYARAとは、悪意のあるファイル、システムまたはネットワーク上での不審な活動のパターンのうち、類似性があるものを発見するためのツール。これを利用することで、関連するマルウェアサンプルの発見、グループ化や分類によってつながりを導き出すことができる。

　そして2017年については、感染したマシンの初回の再起動で消え去るメモリ常駐型マルウェアの出現を予想している。このマルウェアの目的は感染の継続ではなく、スパイ活動と認証情報の収集であり、攻撃者は発見されることを避けるために、マルウェアを機密性の高い環境に展開する可能性があるとのこと。

　GReATのシニアセキュリティエキスパート、ファン・アンドレス・ゲレーロサーデ氏は、以下のようにコメントしている。

　「こうした傾向は犯罪者側からすると飛躍的な進歩ではありますが、セキュリティ業界には打つ手があります。それは品質の高いYARAルールの採用です。リサーチャーはYARAルールを活用することで、企業の隅々にまでスキャンを実施し、休止中のバイナリの特徴を検査・特定するとともに、マシンのメモリをスキャンして既知の攻撃の断片を探し出すことが可能になります」

　その他の傾向、予測を含む全文はこちらから入手できる。