何でもそうなんだけど、組織内のPCであやしいアクティビティをしよう！とする場合には、まずはあやしいアクティビティのためのツールを仕掛ける、という大きなイベントが発生するんだけど、そのときが捕捉する最大のチャンスなんでしょうねえ。
インストールされてしまうと、もうそのあとは通信路を隠蔽されちゃうと検出はかなり難しくなってくるというのが、昨日のセキュアカでの議論で良く分かったなあ。隠蔽や偽装という分野に於いては、隠蔽・偽装する側が圧倒的に有利であるわけだし、個別の偽装方法に対し「こうすればわかる」みたいなTIPS的な捉え方のみではどうしても後追いになっちゃう。トラフィック解析のように汎用的なロジック（AさんとBさん、最近やたら通信してるよなー、みたいな）での異常検知っぽく捕捉するような方法論も、併用していく必要がありそうだよなあ。