ルーター、そしてDNSを狙う攻撃をどう検知すべきか？――カスペルスキー：＠ITセキュリティセミナー2018.6-7

[宮田健，＠IT]

カスペルスキー 情報セキュリティラボ／社長室 チーフセキュリティエヴァンゲリスト 前田典彦氏

　＠ITは、2018年6月5日、大阪で「＠ITセキュリティセミナー」を開催した。本稿では、カスペルスキーの講演「カスペルスキーが考えるセキュリティの勘所」の内容をお伝えする。

　ルーターのDNS設定を改ざんし、配下にあるデバイスを特定のサイトに誘導する「Roaming Mantis」と呼ばれるマルウェアが存在する。被害に遭うのは、主に家庭で使われるブロードバンドルーターだ。DNS設定を書き換えられることで、ユーザーは、普段見ているサイトから、攻撃者が用意した、Androidマルウェアのダウンロードを促すIPアドレスへ誘導されてしまう。ルーターが工場出荷時のままの設定だったり、初期ユーザー名／パスワードがそのまま利用されたりしている場合に攻撃リスクが高まる。

　カスペルスキー 情報セキュリティラボ／社長室 チーフセキュリティエヴァンゲリストの前田典彦氏はRoaming Mantisを「複合型の攻撃」と表現する。Roaming Mantisは進化し、iOSデバイスに対するフィッシングサイトへの誘導やサイトでの仮想通貨マイニングも行うようになっている。複合型であるが故に、パターンマッチングのみの従来型マルウェア対策を超える対策が必要だ。

　カスペルスキーは2018年5月30日、Roaming Mantisに対して、機械学習や標的型攻撃アナライザーを用いた検出機能、そして同社のインテリジェンスの両輪で対策を打つべく、「Kaspersky Endpoint Detection and Response（EDR）」を発表している。前田氏は「技術、教育、運用、共有の“四位一体”で守ることが重要」と述べた。

「Kaspersky Endpoint Detection and Response」のイメージ。機械学習で動作する「標的型攻撃アナライザー」を中心に、さまざまな機能から上げられる情報を判断する（出典：カスペルスキー）