2014年11月21日、トレンドマイクロは情報セキュリティカンファレンス「Direction」を開催した。基調講演「三年後のセキュリティをよむ」内のデモンストレーションにおいて、トレンドマイクロが考える新たな防御ソリューションの考え方が披露された。その様子をレポートしよう。
標的型攻撃が年々、巧妙化している中、防御の在り方にも新しいアプローチが登場している。ここではトレンドマイクロが考える最新のアプローチを「DIRECTION」の基調講演から紹介しよう。
基調講演のデモンストレーション部分は、トレンドマイクロのマーケティング戦略部 コアテク・スレットマーケティング課 担当課長 太田 浩二氏が担当した。
トレンドマイクロの「Next Generation Threat Defense」では、初期侵入段階の防御だけに注力するのではなく、事前準備としての「最適な入り口対策」を行い、その後の行動全体を可視化できるよう、各種機器のログを同社のSPN(Smart Protection Network)およびIBM、Splunk、HPなどのSIEM製品と連携し、ビッグデータ的なアプローチで取り組むものだ。
眠る「マシンデータ」を処理、スプランクが国内でのビジネス戦略を発表(@IT)
http://www.atmarkit.co.jp/ait/articles/1401/16/news117.html
デモでは、実際に攻撃があったときにどのようにNext Generation Threat Defenceが動作するのかが解説された。ゼロデイ攻撃は脆弱(ぜいじゃく)性が発表される前から攻撃が行われている。発表後、どこまで過去ログにさかのぼれるかという点だけでなく、通常24時間程度で消滅してしまうC&Cサーバーの検知ができるのかという点も課題になる。
太田氏は標的型攻撃を基に解説を行う。とあるA社に不審な接続履歴が発見され、10月1日にA社の従業員、Greg氏の端末が「過去に接続したことのないサーバー」へ「勤務時間外」にアクセスが発生していることが分かる。リスクのあるエンドポイントを発見する「Early Warning Service」より、この情報がワーニングとして挙げられ、調査がスタートする。
接続先を調査すると、中国であることが分かった。SPNと連携することで、トレンドマイクロの確認するトラフィック全体のうち、A社からのトラフィックが8割を超えることが把握できた。つまり、この攻撃はA社を狙う標的型攻撃だということが分かる。
さらに、A社内に他の接続端末が存在していたかを確認する。社内のクライアントを確認すると、似たようなURLへ接続する3台の端末が確認できた。さらにGreg氏の端末の接続先を精査すると、2つのC&Cサーバーへの接続が発見できる。もう1つのC&Cサーバーを追うと、この攻撃は実は別端末、Jason氏がメールに添付されていた悪意あるPDFファイルを1か月前に開いてしまったがために発生していたことが判明した。これが、根本原因だったことが分かる。
さらにトレンドマイクロは、感染端末を発見したときに自動的に「トラップネットワーク」へ移動させるような仕組みも取り入れるという。SDNコントローラーを使うことで、「継続的な感染端末のモニタリングが実現できる」(太田氏)という。これにより、犯行手口の発見や、攻撃側の意図を確認できる。昨今のマルウェアは単に切断、隔離してしまうと活動を停止するなどの「サンドボックス対策」を行っていることも多いため、このような形で監視するという手法を選んだというところだろう。
マルウェアの視点で見るサンドボックス:
合法マルウェアで実感「リアルとサンドボックスの違い」(@IT)
http://www.atmarkit.co.jp/ait/articles/1404/18/news004.html
トレンドマイクロ代表取締役社長(CEO)エバ・チェン氏は、Shellshockでの事例を振り返り、「迅速な脅威防御(手法の提供)と保護が必要だ」と述べる。トレンドマイクロは仮想パッチによる「侵入保護」、さかのぼってチェックを検知することによる「脅威からの保護」、そしてエンドポイントからゲートウェイまでの多層防御による「ユーザーの保護」という三つのステップを、“迅速に”行うべきだと述べた。
チェン氏は新たな攻撃に対しては「これまでは保護、防御だけに注力していたが、これからは企業がスレットディフェンスを包括するライフサイクルの管理が必要。早期警告システムとその後の分析システムで掘り下げることで、迅速な対処策を練ることができる」と指摘する。
「3年後、セキュリティの景観がどうなっているかを考えてほしい。CIO、CSOにとって、一番の課題は何かを考えてほしい。洗練された攻撃が企業に与える影響は大きい。 次の『Shellshock』が来たときにどのような体制を組むことができるかは難しい。しかし、専門家がともに手を取ることで、デジタル世界を変えうる解決策を編み出すことができるだろう」(チェン氏)
Trend Micro DIRECTION:
エバ・チェンが語る「個人と企業の境界線がなくなった世界」をどう守るか?(@IT)
http://www.atmarkit.co.jp/ait/articles/1411/21/news138.html
Copyright © ITmedia, Inc. All Rights Reserved.