サイバー攻撃の疑いがある異常を検知、状況の早期把握を支援

サイバー攻撃によって組織内のPCに侵入したマルウェアは、感染PCを介してサーバー上の重要データを窃取し、外部に送信するまでにさまざまな異常を引き起こします。
このようなサイバー攻撃の影響が疑われる異常を検知し、状況分析を支援する機能を新たに搭載。発生する異常ごとに、5つの対策機能をご紹介します。

マルウェアは感染時にレジストリキーの内容を書き換えることで、PCに不具合を引き起こすことがあります。
また、WindowsのOS起動時や、アプリケーションの起動時にマルウェアを自動で起動させられるように、「スタートアップ」などのWindowsレジストリを改変するマルウェアも存在します。

事前に登録したレジストリキーの変更や削除が発生すると、管理者にアラート通知できます。
PCの起動時にマルウェアも同時に起動するように仕組まれるなど、マルウェアによるレジストリの
改変が行われた際に、素早く状況を把握できます。

マルウェアは個人情報などの重要データが保存されたサーバーから、目的のデータを感染PCのローカルディスクにコピーし、圧縮ファイルを作成します。その上で、通信量によってマルウェアを検知する対策ツールなどに見つからないように、少しずつデータをC&Cサーバーに送信することがあります。

PC上で行われる圧縮ファイル（rar形式、lzh形式など）の作成、コピーなどの操作を検知し、アラート通知します。
窃取するデータを圧縮ファイルとして少しずつC＆Cサーバーに送信するマルウェアの動きなどの把握にご活用いただけます。

マルウェアによって収集された重要データは、感染PCからC&Cサーバーを経由して攻撃者に送信されます。
C&Cサーバーにデータを送信する際は、コマンドプロンプトのFTPコマンドなどを利用して、検知されないように少しずつデータを持ち出します。

コマンドプロンプトによるデータのアップロード / ダウンロードを検知できます^※。
マルウェアによるFTPコマンドを利用した外部へのデータ送信を素早く察知し、対策の早期実施を支援します。

※「FFFTP.exe」「NextFTP.exe」などのファイル転送ソフトウェアを利用したファイルアップロード / ダウンロードの検知も可能です。

攻撃者は感染PCを介して、個人情報などの重要データが保存されたサーバーにアクセスを試みます。
この際、マルウェアによるアクセスだと悟られないように、PC内の既存アプリケーションを利用してデータにアクセスすることもあるため、そのアプリケーションの起動元となったプロセスが何なのかを把握することも重要になります。

サーバー上のデータなどに対する操作状況の把握に役立つ「ファイル操作ログ」から、
アクセスしたアプリケーションに関する情報を確認できます。
重要データに対してマルウェアによる不正アクセスがないか確認しやすいように改善しました^※。

※「ITセキュリティ対策強化」機能とあわせてご利用いただくことで、起動元プロセスまでさかのぼってマルウェアの挙動がないかを確認できます。

マルウェアに感染したPCは、攻撃者が用意したC&Cサーバーと通信することで、攻撃者から不正コマンドを受信したり、新たに別のマルウェアをダウンロードするなどして、感染拡大、情報窃取を試みます。これらの通信はバックグラウンドで行われるため検知が容易ではなく、Internet Explorerなどのブラウザが利用されるケースもあります。

マルウェアの攻撃対象となりやすいInternet Explorerによるバックグラウンド通信を「想定外TCP通信ログ」として記録、確認できます。ログはユーザーがブラウザを利用した場合と分けて記録されるため^※、異常な通信の素早い把握にお役立ていただけます。

※ユーザーがInternet Explorerを利用して行った操作は、「Webアクセスログ」として記録されます。