検知率は99.7%、未知のマルウェアも対策できる、AIを使った新たなセキュリティ対策の形とは:使い捨てやオンラインバンキングのマルウェアにどう対策するのか?
使い捨てマルウェアやファイルレスマルウェアなど、日々巧妙化するサイバー攻撃。セキュリティ対策が難しくなる中、どのような対策を採るべきなのだろうか。NECソリューションイノベータが開催したイベントから、最新の脅威や対策方法を紹介する。
NECソリューションイノベータは2018年7月27日、自社主催セミナー「今そこに潜在する脅威に気づいていますか? よりセキュアにより楽に『CylancePROTECT』が実現する新たな脅威対策」を開催。最新の脅威の解説から、対策へのアプローチ方法、具体的なソリューションなどを紹介した。当日の模様をお伝えする。
マルウェアの巧妙化で気付かないうちに感染するケースが急増
サイバー攻撃が巧妙化する中、マルウェアに感染しても気付かないというケースが急増している。NECソリューションイノベータが顧客から調査の依頼を受けて脅威診断してみると、平均で約17%の端末から脅威やファイル実行の痕跡が検出されるという。企業は、こうした事態にどう対応すればよいのか。
セミナーではまず、Cylance Japanの本城信輔氏が「最新の脅威動向から考える、あるべき対策の姿」と題して、最新の脅威の動向を解説した。Cylanceでは、人工知能(AI)を活用したマルウェア対策ソフト「CylancePROTECT」を展開しており、本城氏は、脅威解析チーム アジア太平洋地域マネージャーとして、AIアルゴリズムの精緻化に向けて、日々脅威の調査や解析に取り組んでいる。
本城氏は2017年の脅威のポイントとして、Cylanceがブロックした脅威はグローバルで企業1社当たり平均3900件に達しており、前年比13.4%増で増えていると説明した。
「業種は、食品が50%、サービスが19%、医療が13%で上位を占めます。また感染経路の上位はWebとメールが占め、ランサムウェアは前年比3倍に急増しました。脅威の中で強調したいのは、『使い捨てマルウェア』の利用が常態化していることです」(本城氏)
使い捨てマルウェアとは、シグネチャによる検知をかいくぐるために、従来のマルウェアに少しだけ手を加え、一度の攻撃で使い捨てられるようなマルウェアだ。攻撃ごとに異なる特徴を持つため、従来型のセキュリティ技術ではほとんどが対応できない。標的型攻撃のような高度な攻撃だけではなく、一般の犯罪用マルウェアにも使われているという。
その上で本城氏は最新の攻撃でよく見られる代表的な攻撃の挙動と対策方法を紹介した。攻撃の種類としては、ランサムウェア、オンラインバンキングマルウェアが急増している状況だ。ランサムウェアは160カ国、16業種で感染が見られた。またバンキングマルウェアは、2009年ごろにヨーロッパで猛威を奮った「URLZone」が数年前から日本で流行し始めている。
「正しい日本語を使って請求書や発注書などのメールが送られてきます。それらを開くと『[編集を有効にする]をクリックします』などと促され、実際に実行するとマルウェアに感染します。請求書なので普通に開いてしまいがちです。検知回避のためにマクロは難読化されています。怪しいメールだから開かないといったこれまでの対策では対応し切れません」(本城氏)
また、「暗号通貨」への攻撃に関する被害も増えてきている。「コインマイナー」と呼ばれる暗号通貨を採掘するソフトの中にはマルウェアに分類されるものがあり、PCに感染するとワームのように感染を広げ、採掘を実施する。
さらに、ファイルレスマルウェアと呼ばれるマルウェアも脅威になってきた。ファイルレスマルウェアとは、Windowsのレジストリ上にスクリプトを紛れ込ませて実行するもので、ファイルがディスク上に存在しないマルウェアのことだ。実行されても「regsvr32.exe」のようなWindowsの正規ファイルを装って実行される。
最後に本城氏は「攻撃者はテストして、検知回避を行った上で攻撃してきます。使い捨てマルウェアによる攻撃は今後も続き、手法もますます巧妙化します。従来型のセキュリティ製品ではもはや十分に対応できないことに注意すべきです」と強調して講演を終えた。
いつ侵害され、どんな被害があるかを診断する方法とは
では、こうした脅威にどう対抗していけばいいのか。続いて、NECソリューションイノベータのセキュリティ事業推進本部 平野良子氏と営業統括本部 村田和之氏が登壇した。「事例で語る、エンドポイント脅威対策〜CylancePROTECTの予測防御力を最大限活用していただくために、提案したいこと〜」と題して、同社が提案している「エンドポイント侵害診断サービス」と「エンドポイント脅威対策サービス」を、実際の企業がどのように導入し、成果を出しているかを紹介した。
平野氏はまず、現在のセキュリティ侵害が実際にどのように発生しているのかをシナリオを通じて紹介した。マルウェア感染はかつて、社員の1人が怪しいメールを開いて、PCの挙動がおかしくなるところから発覚するケースが多かった。しかし今は、社員はもとより管理者すらマルウェアに感染したことに気付かないことがほとんどだ。
「ある日突然サーバが停止し、その調査を始めます。すると原因はランサムウェアにあったことが分かります。ただ、その調査の間も被害は拡大し、知らないうちにビジネスに甚大な被害を与えるところまで感染が広がっていきます」(平野氏)
実際「WannaCry」は、そのようにして日本企業で感染が広がった。こうした事態に陥ったときの対処として、まず必要なのは、感染とそれによる情報漏えいの有無を確認することだ。NECソリューションイノベータが提供するエンドポイント侵害診断サービスでは、エンドポイント端末個々の状態を相関的に分析することで、現在のセキュリティ状況を迅速に診断できる。具体的には、破壊、窃取されたデータがないか、攻撃者から侵害を受けた形跡がないか、脆弱(ぜいじゃく)性が潜んでいないかをチェックできる。
「実施例としては、『(1)環境のヒアリングから始まり、(2)ツール展開、実行、情報収集、(3)データの解析、結果分析を経て、(4)最終報告、対策提案』という流れで進みます。侵害の痕跡やマルウェア感染が発見された際は、インシデント対応が必要な作業の優先順位と推奨スケジュールを提示します」(平野氏)
企業は提出されたレポートを見て、どこにどのような問題があったかを確認できる。その後も、提案内容に沿った対策を実施可能だ。例えば、全拠点全端末でエンドポイント侵害診断サービスを実施したり、CylancePROTECTを全拠点全端末に導入したりといった対策だ。
脅威分析と運用代行をセットで提供し多様なニーズに対応
続いて登壇した村田氏は、CylancePROTECTの特徴や他のマルウェア対策製品との違い、導入のポイントなどを具体的に紹介した。
CylancePROTECTは、機械学習やディープラーニングを使い、ファイルの複数の要素(特徴点)を総合的に判断してマルウェアかどうかを判定するマルウェア対策ソフトウェアだ。既知のマルウェアだけではなく、未知の脅威も検知する。マルウェア検知率は、99.7%(※)という高精度だ。データベースの更新が不要で、スキャン作業がないためコンピュータへの負荷が低いという特徴を持つ。クラウド上から管理するため、専用サーバが必要なく、管理、運用が容易なこともメリットだ。
※January 25th 2016, by AV-TEST, Business Windows Client Antivirus Test(2016年9月14日時点)
「エンドポイントのセキュリティ対策を提案する中で、お客さまから聞かれる声の一つに『脅威ファイルを検知したが、本当に隔離すべきか判断できない』があります。ファイルの正体を知って、今後の対策に生かしたいがなかなかできない。そこで、ソフトウェアだけではなく、専門家の知見を活用したいという話をお客さまからよく聞きます。また、ウイルス対策に余計な工数をかけたくないという声も多くあります。新しいマルウェアが世の中を騒がせるたびに、パターンファイルの有無を確認する作業が負担になっているのです。そうした作業負担を取り除き、より生産的な業務にリソースをシフトしたいというニーズがあります」(村田氏)
そうしたニーズに応えるためにNECソリューションイノベータが提供しているのが、アナリストによる「脅威分析サービス」と「ウイルス対策業務の運用代行サービス」だ。脅威分析サービスでは、NECグループのSOC(Security Operation Center)によるセキュリティ監視と、アナリストによる脅威解析を行うことで、顧客側では用意しづらい専門的知見を提供。また、運用代行では、これまでの実績による推奨設定で導入を容易にし、メンテナンス業務を代行して、顧客リソースの有効活用を図る。CylancePROTECTにこれら2つのサービスをセットして提供するのがエンドポイント脅威対策サービスだ。CylancePROTECTの基本的な管理機能はそのままに各種サービスを付加した「通常版」の他、管理を省いて対策に特化した「mini版」など多彩な提供メニューがある。
「基本機能で手早く手軽に対策を始めたい方、『ひとり情シス』で運用工数を削減したい方、マルウェアの詳細を知り今後の取り組みに生かしたい方、5人程度の部門導入を行いたい方など、お客さまのニーズに適した導入プランを選択できます。15年以上のエンドポイントセキュリティ製品の取り扱い実績があり、SOCを活用したセキュリティ監視の実績も豊富です。NECグループならではの他ソリューションと組み合わせた提供も可能です」(村田氏)
攻撃者に対抗するために進化を続けるSOCサービス
3つ目のセッションでは、NECネッツエスアイ 企業ソリューション事業本部 ニューソリューション推進事業部の工藤喜之氏と鎌田高志氏が登壇。「SOCサービス事業における取り組みと今後の進化〜SOCサービスの概要とエンドポイント監視対応によるお客様メリット〜」と題して、NECネッツエスアイが提供するSOCサービスを紹介した。
NECネッツアイでは、国内300カ所以上のサポートサービス拠点による24時間365日対応の保守、運用、監視サービス、アウトソーシングサービスを提供する。
「サイバー攻撃を行う世界中のプロ集団は24時間365日、巧妙な攻撃を仕掛けるよう変化してきています。そこで防御側でも専門家による24時間365日体制でのSOCが求められてきました」(工藤氏)
また、SOCには、巧妙化して「気付けない攻撃」をどう可視化するかや、攻撃を発見するだけではなく発見後にどう適切に対処するかも求められるようになった。そうしたニーズを満たすのがNECネッツエスアイのセキュリティ運用サービスだ。
「多様なセキュリティ製品のアラートをリアルタイムかつ相関的に分析し、プロアクティブにインシデントを検知します。インシデント検知時には、セキュリティアナリストが独自のノウハウで調査し、お客さまに報告。NECのセキュリティ監視部門として2000年にサービスを提供開始して以降、累計300社以上1500デバイスの導入実績があります」(工藤氏)
続いて登壇した鎌田氏は、「従来のようなゲートウェイ機器を対象としたセキュリティ監視だけではなく、EDR(Endpoint Detection and Response)のようなエンドポイント対策製品を監視対象に加えてSOCサービスを提供することは、顧客に大きなメリットをもたらします」と指摘し、SOCサービスの内容を強化予定だと紹介した。
これまでのSOCサービスでは、脅威検知(監視)、調査(分析)、通報(対処法の案内および詳細確認依頼)までとなっているが、実際、通報後にも、顧客側で多くの作業が残されている。例えば、攻撃成否や感染有無の確認、情報漏えいをはじめとする被害の有無、駆除、復旧などだ。
そこで鎌田氏は、「エンドポイントのEDR機能を活用し、SOCサービスの調査範囲を拡充することで、通報後に待ち受ける顧客作業負担を大幅に軽減できます」と主張。また、最初にSOCサービス対応させる予定の製品についてはCylancePROTECTのオプション製品である「CylanceOPTICS」で考えていると明かした。
「セキュリティ監視サービスは被害の発生を前提として進化する必要があり、それに向けて今後もさまざまな機能強化を図っていきます」(鎌田氏)
──今そこに潜在する脅威にどう気付くか? 今回のセミナーは、その答えを存分に知ることができる有意義なものだった。
Copyright © ITmedia, Inc. All Rights Reserved.
関連リンク
提供:NECソリューションイノベータ株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年9月26日