環境寄生型(LotL)攻撃への備え、イベントログと脅威検出のベストプラクティス #専門家のまとめ
一週間を始めるにあたって、押さえておきたいセキュリティニュース。今週は豪州通信情報局(ASD)豪州サイバーセキュリティセンター(ACSC)が策定し、CISAやFBIといった国際的なセキュリティ機関が共同で署名した「イベントログと脅威検出のベストプラクティス」について、まとめました。
該当期間:(2024/08/19 - 2024/08/25)
ココがポイント
▼LotL(Living Off the Land)攻撃の脅威リスクが高まっており、この攻撃への備えと回復力を強化することが重要
・Best Practices for Event Logging and Threat Detection(ACSC)
▼LotLとは、マルウェア等を使わずにOS標準の機能等を悪用する攻撃。アンチウィルス対策ソフトの検出を回避する
・環境寄生型(LotL)攻撃とは【用語集詳細】(sompo cyber security)
▼中国の支援を受けているとされる攻撃グループ、Volt TyphoonがLotLを得意としており、世界でも被害が拡大している
・People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection(CISA)
▼今回発行されたレポートは「LotLを特定し緩和する方法」に続く二本目。UEBA等の振る舞いを検知する技術が有効
・Identifying and Mitigating Living Off the Land Techniques(ACSC)
エキスパートの補足・見解
多くの人がセキュリティ対策というと、メールに添付されたファイルにマルウェアが含まれていてこのファイルを実行するとマルウェアに感染するので、パソコンにマルウェア対策をするのが基本と考えているのではないでしょうか。
しかし、今回取り上げたLotL型の攻撃は、添付ファイルをチェックしてもマルウェアが含まれていません。そのため従来型のセキュリティ対策では検出出来ず、世界でも被害が拡大しているため、防御能力を向上させるために発表されています。
重要なインフラを担う企業のCISO等はLotL攻撃について理解することを推奨します。