Yahoo!ニュース

環境寄生型(LotL)攻撃への備え、イベントログと脅威検出のベストプラクティス #専門家のまとめ

大元隆志CISOアドバイザー
画像はChatGPTにより筆者作成

一週間を始めるにあたって、押さえておきたいセキュリティニュース。今週は豪州通信情報局(ASD)豪州サイバーセキュリティセンター(ACSC)が策定し、CISAやFBIといった国際的なセキュリティ機関が共同で署名した「イベントログと脅威検出のベストプラクティス」について、まとめました。

該当期間:(2024/08/19 - 2024/08/25)

ココがポイント

▼LotL(Living Off the Land)攻撃の脅威リスクが高まっており、この攻撃への備えと回復力を強化することが重要

Best Practices for Event Logging and Threat Detection(ACSC)

▼LotLとは、マルウェア等を使わずにOS標準の機能等を悪用する攻撃。アンチウィルス対策ソフトの検出を回避する

環境寄生型(LotL)攻撃とは【用語集詳細】(sompo cyber security)

▼中国の支援を受けているとされる攻撃グループ、Volt TyphoonがLotLを得意としており、世界でも被害が拡大している

People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection(CISA)

▼今回発行されたレポートは「LotLを特定し緩和する方法」に続く二本目。UEBA等の振る舞いを検知する技術が有効

Identifying and Mitigating Living Off the Land Techniques(ACSC)

エキスパートの補足・見解

多くの人がセキュリティ対策というと、メールに添付されたファイルにマルウェアが含まれていてこのファイルを実行するとマルウェアに感染するので、パソコンにマルウェア対策をするのが基本と考えているのではないでしょうか。

しかし、今回取り上げたLotL型の攻撃は、添付ファイルをチェックしてもマルウェアが含まれていません。そのため従来型のセキュリティ対策では検出出来ず、世界でも被害が拡大しているため、防御能力を向上させるために発表されています。

重要なインフラを担う企業のCISO等はLotL攻撃について理解することを推奨します。

CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事