Impervaは5月7日、APT攻撃について分析した調査「Hacker Intelligence Initiativeレポート:The Non-Advanced Persistent Threat」の結果を発表した。
今回、APT攻撃で用いられている技術を分析したところ、複数のAPT攻撃が基本的な技術によって比較的簡単に実行されていることが判明した。一見、正当に見えるファイル共有やSharePointサイトとWindowsの組込み機能を組み合わせることで、攻撃者は重要なデータにアクセスするための侵入口を確保することが可能だという。
攻撃の例として、マイクロソフトの認証プロトコロル「NTLM」に対する攻撃が挙げられている。NTLMは古くからセキュリティの問題を抱えていることが知られており、マイクロソフトも複数のパッチを提供している。
レポートでは、一般的なWindowsの知識、基本的なソーシャル・エンジニアリング、容易に入手可能なソフトウェアのみを用いて、NTLMを狙った攻撃の手口が紹介されている。
同社は、NTLMへの攻撃に対するアプローチとして、「NTLM v2のみ利用を許可する」や「SMB署名を利用する」があるが、究極の方法はNTLMによ認証からKerberosによる認証に移行することとしている。加えて、認証プロセスやデータへのアクセスのパターンを監視することに注力すべきだという。