2014年もさまざまなセキュリティ事件が発生した。シマンテックの調査によると、情報漏えいの原因として最も多いのが「外部からの攻撃」だという。その糸口となるのが、Webサイトに存在する脆弱性だ。
シマンテック・ウェブサイトセキュリティの林正人氏は「Webサイトの脆弱性は大多数のWebサイトに存在する。Webサイトへの攻撃は増加しており、結果として漏えいにつながる」と指摘する。しかも、Webサイトへの攻撃は、決して大手企業だけでの話ではない。中小企業も同様に影響を受け、水飲み場攻撃などに悪用される恐れもある。
事実、同社のWebアプリケーションファイアウォールでは、SQLインジェクションやディレクトリトラバーサルを狙う攻撃を多数検出している。しかも、PHPをはじめWebサーバーを構成する多数のパーツに脆弱性が報告されている。「攻撃者は、対策が難しいことを見越している。この結果、攻撃件数は右肩上がりだ」。
同社では、既に運用されているWebサイトが大多数であることを踏まえ、「PDCAではなく、まずチェックから始めるCAPDを推奨する。穴がないか、マルウエアがないかを検査し、その上で適切な対策を施していくべきでは」(林氏)。同社のSSLサーバー証明書には、マルウエアスキャンや脆弱性アセスメントといった機能がバンドルされている他、クラウド型WAFも提供している。これらを活用して、自社サイトに脆弱性がないかを知り、改修し、それが難しい場合はWAFを使って対処してほしいと述べた。
ハミングヘッズは「標的型攻撃を止める! 純国産セキュリティDefensePlatform」というタイトルでの講演を行った。同社が提供する国産のセキュリティソフト「ディフェンスプラットフォーム」(DeP)の動作を中心としたセッションだ。
DePはこれまでのアンチウイルスソフトのような、パターンファイルを基にし「犯罪者リストを作り、ビル内に侵入させない」というアプローチではなく、プロセスの動作を監視し破壊行動を止めるといった「ビル内に監視員を配置し、悪いことを止める」という動作を行うセキュリティソフトだ。この方式は疑わしきはすべて止め、許可された動作のみを行うホワイトリスト型の監視ツールといえる。
あらかじめよく使われているようなアプリケーションはホワイトリストに登録済みで、企業が独自で作っているアプリケーションを動作させ、ログを取得しホワイトリストに登録させるようなツールも標準で添付している。ハミングヘッズの石津氏はDePについて「データではなくWindows APIを監視するため、ゼロデイ攻撃にも対応できるセキュリティ拡張製品。サポートの切れる製品の入れ替え時期を調整することも可能だ」と述べる。
セキュリティ製品を使っていて時々不安になるのが、「本当にこの製品で、マルウエアをきちんと検出できているだろうか」という疑問だ。この疑問をきちんと試して解消するために、実際にマルウエアを作ってしまったのが、マクニカネットワークスの凌翔太氏だ(@IT関連記事:合法マルウエアで実感「リアルとサンドボックスの違い」)。同氏は、自作したマルウエアでいくつかのセキュリティ製品を検証した結果、「新しいマルウエアは、完全に見つかり検出されるようになるまで半年くらいはかかる」という結論に達したそうだ。
IDSやIPSについても、リンク先にスクリプトを埋め込むショートカット攻撃によってすり抜けることができる。URLフィルターには、ワイルドカードドメインという手法があること、最近注目を集めるサンドボックスにも仮想環境特有のデスクトップ画面の特徴などを検出することで、リアルな環境か仮想環境かを検出できるようになっていると述べる。「セキュリティ製品にはこういうリスクもあることを確認してほしい」(凌氏)。
逆に、攻撃を示唆する情報である「インジケーター」に着目することで、突破しにくい対策が実現できる可能性があるという。APTには複数のさまざまなフェーズがあり、それがインジケーターを生み出す。ふるまい検知やサンドボックス、ログ解析、ネットワークフォレンジックといった複数の手法を活用し、一つ一つ単体では分からないものでも、三つインジケーターがそろえば怪しい、と判断できる。
また、近年限界が指摘されがちな「ブラックリスト」も、変更が困難なパラメーターや挙動を意識して作れば有効である。「ブラックリストも含めた既存のセキュリティを有効活用しつつ、インジケーターという新しいアプローチで見つけていくべき」とした。
デル・セキュアワークスは「アンダーグラウンド ハッカー市場の現状と脅威への対応」と題したセッションを行った。ハッカーたちはいたずら行為からお金のために動くようになったが、近い将来「健康や生命を脅かすような、重要インフラや医療、家電を狙うかもしれない」とデル・セキュアワークスの古川氏は述べる。
米国においては、サイバー犯罪集団が盗み出した情報を“リアルな”犯罪者集団に渡るなど、アンダーグラウンドなハッカーたちと、現実世界の「悪人」が手を握り始めているという。幸い、日本においてはこの連携が「いまのところ強固ではない」とするが、今後は日本がターゲットになるリスクが高いと古川氏は述べる。
利便性とセキュリティレベルは相反する要素だ。個人、企業としてこれまで行われてきたセキュリティ対策に加え、新たに「人」「プロセス」「テクノロジ」での対策が必要となる。ここにはキーワードとして「多層防御」が挙げられるが、マルチベンダー混在構成の運用管理が求められるため、運用コストを下げるべき一般的なITインフラ運用とは目指す方向が正反対だ。デル・セキュアワークスはそのような現状を打破する方法の一つとして、セキュリティの専門部隊を持ち、マルチベンダーな構成を監視できるマネージドセキュリティサービスプロバイダーを利用することを提案した。
近年、マルウエアの進化は著しい。「いくら最新の技術を投入しても、マルウエアの確実な検知はできない」と、ディアイティの青嶋信仁氏は講演の中で述べた。これからは発想を転換し、「インシデント発生後の時間をいかに短縮し、検知後の情報流出をいかに最小限にするかがポイントだ」という。
特に難しいのが、「一つ検知して喜んでいたら、他にも存在していて、駆除している間に他のところから漏えいしてしまうというケース」だ。また実運用の現場では、そのPCが本当にマルウエアに感染しているか否かを確認できるようにしたいというニーズもある。IPSで何らかの不正な通信を検知したときに、本当に社内からなのか、感染したのかどうかを知りたい、というわけだ。
ディアイティでは、「CAPLogger」(Communication And Process Logger)と「SFChecker」(Suspicious File Checker )というツールによって、こうしたニーズの解決を支援するという。全社は、どのプロセスがどこと通信するかを記録して、感染の有無を検査するもの。後者は、PCに常駐して、マルウエアと判定されたものを削除するものだ。これによって、「専門家がいなくてもある程度のことが分かる」(青嶋氏)。
さらにSIEMや特権管理などを組み合わせることで、たとえマルウエアに感染しても早期に発見し、漏えい被害にまでは至らないようにできるとした。
Copyright © ITmedia, Inc. All Rights Reserved.