@IT 情報漏えい対策セミナーレポート
標的型攻撃に備える! いまできる対策のヒント
谷崎朋子
2012/7/23
セッション3〜進化する標的型攻撃、その新たな傾向〜
セッション3は、「狙いは情報窃取? 進化する標的型攻撃と、今求められる対策とは」と題して、トレンドマイクロ ソリューションマーケティング本部の横川典子氏が講演した。
 |
トレンドマイクロ ソリューションマーケティング本部 横川典子氏 |
情報漏えい対策ソリューションを担当したことのある横川氏は、うっかりミスなどの人に起因する情報漏えい事故が、マルウェアを使った標的型攻撃による窃取へ変わったと指摘した。そんな標的型攻撃の最近の傾向の例として、横川氏は「Luckycat」と「IXESHE」(アイスシ)を取り上げた。
Luckycatは、2011年6月ごろから世界各地で発生しており、攻撃日時や標的関連情報などを示すキャンペーンコードを使う。コードにはC&Cサーバへの接続時に使うURLが埋め込まれており、接続を受けることで攻撃の成功を確認できる。どこにばらまいた攻撃が効果的だったかをフィードバックできる、よりインテリジェントな仕様が特徴だ。
一方のIXESHEは、2009年7月ごろから発生している。注目したいのは、標的内部にC&Cサーバを設置する点だ。「内部に設置されてしまうと、外部へのセッションを監視して異常を検知する出口対策が効かなくなる」(横川氏)。
こうした新たな傾向に対して、横川氏は4つのアプローチを提案する。送信ドメイン認証や添付ファイル解析による「なりすまし対策と添付ファイル対策」、迅速な修正パッチ/仮想パッチの適用などの「脆弱性対策」、Webレピュテーションや振る舞い検知などによる「C&Cサーバ通信からの攻撃検出」、そして変更監視や通信解析による「内部対策のアプローチ」だ。特に、IXESHEのようにC&Cサーバを内部に設置された場合を考慮し、サーバセグメントから外に出る通信を見るなど、より小さい単位で監視することも有効という。
トレンドマイクロでは、これらアプローチに対して各種製品を用意しているが、本講演では対応範囲の広い「Deep Discovery」を紹介した。同製品は標的型攻撃を検出するために特化した製品で、未知のマルウェアもサンドボックスで実行し、分析できる。またレポート通知も、「週単位では遅すぎる」という声を受け、最新版ではリアルタイムに把握できる仕組みを実装した。
「標的型攻撃は病気と同じで、すぐに見つけて直すことが最善策だ。脅威を可視化し、いかに迅速に検知して対応できるかが勝負どころだ」(横川氏)。
セッション4〜ゲートウェイから考える標的型攻撃対策〜
セッション4「チェック・ポイントのマルチレイヤープロテクション 一歩先を行くセキュリティ、標的型攻撃対策」では、チェック・ポイント・ソフトウェア・テクノロジーズ システム・エンジニアリング本部の安藤正之氏が、ゲートウェイから見た標的型攻撃対策について紹介した。
 |
チェック・ポイント・ ソフトウェア・テクノロジーズ システム・エンジニアリング本部 安藤正之氏 |
安藤氏は、攻撃手法が、過去のセキュリティゲートウェイの脆弱性を突く方法から、いまでは人間自身の脆弱な部分を突くものへと変容していることを指摘した。この点に着目し、ゲートウェイ対策を進化させることで対処するというのが同社のアプローチだ。
チェック・ポイントでは、標的型攻撃専用のアプライアンス製品「Threat Prevention」シリーズに、アンチボット機能をバンドルした新製品を追加した。同製品は「Check Point ThreatCloud」というクラウドベースの情報網を基盤に、各種ソフトウェアブレードを連携させたマルチレイヤの防御を実現する。
ThreatCloudでは世界各国にセンサを配置し、ユーザーのゲートウェイ製品から収集したマルウェア関連情報を基に解析、攻撃識別情報としてフィードバックしている。顧客側では収集の有無を選択でき、許可した場合も固有情報は隠ぺいされて共有される。「製品のパフォーマンスを損なうことなく、リアルタイムに保護機能を配信、適用できる」と話す安藤氏は、いまは1時間に1回のアップデートだが、今後は分単位や秒単位を目指すと宣言した。
ソフトウェアブレードは数種類あり、講演では3種類が紹介された。まず「Anti-Bot Software Blade」は、端末から外部との通信時に、2億5000万件以上あるThreatCloud上のC&CサーバのIPアドレスと照会し、怪しければ通信を停止させて、フォレンジックに役立つ証跡を記録する。「Antivirus Software Blade」は、クラウドを利用したシグネチャ検索/防御や疑わしいサイトへのアクセス停止などを提供する。「IPS Software Blade」は、既知の脆弱性に対する攻撃を防御するほか、アノーマリ検出でゼロデイ攻撃を防御する。
防御の状況は、統合レポートで確認できる。「新たに追加されたGoogleライクな検索機能によって、必要なデータを簡単に取り出せるようになった」(安藤氏)。なお、ゲートウェイ製品にはユーザーチェック機能が搭載されており、モニターモードで分析し、レポートを提供することも可能だ(3D Security分析レポート)。
セッション5〜UTMで「1人IT部門」でも強力な対策を実現〜
セッション5は、フォーティネットジャパン コーポレートマーケティング部の余頃孔一氏と、キヤノンITソリューションズ プロダクトソリューション事業本部の平野正氏が「クラウド時代におけるゲートウェイセキュリティの活用」と題して講演を行った。
 |
フォーティネットジャパン コーポレートマーケティング部 余頃孔一氏 |
まず余頃氏が登壇し、ボットネットの最新動向を紹介した。ボットネット運用者は、顧客を呼び込むためにボットの侵入成功率の向上を図り、技術者のリクルートを行うなど、裏の経済システムを構築している。攻撃の成功率を上げるためにマルウェアは複雑に進化しており、セキュリティ製品単体では防御できないのが現状だ。
こうした課題に対して、同社はUTM(統合脅威管理)製品、「FortiGate」を提案する。同製品は、高速処理を実現する専用ASICを搭載し、豊富な機能を安価に利用できるのが特徴だ。余頃氏は、一般的な次世代ファイアウォールの機能に加えて、SSLインスペクションやDLP、脆弱性診断など、より多くの機能が利用できるとし、多層的防御体制を構築できると述べた。
そのFortiGateを2003年から取り扱ってきたキヤノングループでは、グループ企業3社で、FortiGateを活用したセキュリティソリューションを展開している。
 |
キヤノンITソリューションズ プロダクトソリューション事業本部 平野正氏 |
キヤノンマーケティングジャパンは、中小オフィス向けIT支援サービス「HOME」を提供している。FortiGateを設置すれば、あとはリモートで管理を委託できるというものだ。平野氏は、専任のセキュリティ担当者を配置する余裕のない顧客の事例を取り上げ、導入後は情報漏えいの不安がなくなり、サポートも好評だと語った。
キヤノンシステムアンドサポートでは、リスクを可視化する「UTMレポートサービス」を提供する。「UTMの導入効果を分かりやすく伝えられるので、『ライセンス更新時の報告書としても有用』との声があった」(平野氏)。
そして、キヤノンITソリューションズのホスティングサービス「Virtual」では、FortiGateの仮想ドメイン(VDOM)機能を利用し、企業ごとに専用ネットワークとファイアウォールを切り分け、それぞれ異なるセキュリティポリシーを適用して運用している。「UTMの豊富な導入実績と経験でユーザー企業をサポートする」(平野氏)。
特別講演〜いまできることを理解し、人材育成を〜
セミナーのトリを務めたのは、ラック JSOC チーフエバンジェリストの川口洋氏だ。「インターネットセキュリティ最前線2012」と題した同講演の冒頭で、川口氏は2012年上半期の主だったセキュリティ事件を振り返った。
ざっと挙げただけでも、標的型攻撃メール、脆弱性のあるSQLサーバをリストアップするかのように短期間発生したSQLインジェクション事件があったほか、日本政府へのサイバー攻撃事件で話題になったAnonymousのグローバルブラックアウト作戦、同氏が在籍するSOCでも感染報告が急増したマルウェア「FlashBack」、個人情報を不正転送するAndroidアプリ「the Movie」、世界の名だたる企業がDDoS攻撃の犯行予告を受けた「Operation NewSon」、マルウェア「Flame」、オンラインゲームプログラムの不正入手と海賊版の横行事件……など、毎月のように記憶に残る事件が発生していた。
 |
ラック JSOC チーフエバンジェリスト 川口洋氏 |
特に犯行予告型のDDoS攻撃について、自身も忙殺されたと話す川口氏は、「突発的な竜巻や台風のようなもので、トラフィック処理能力をアップさせるか、過ぎ去るのを待つしかない」と述べ、慌てない対応を訴えた。できることといえば、「電話連絡網を整備して連絡が取れることをアピールするくらいか」と対策を述べ、会場の笑いを誘った。
こうした事件の共通点は、マルウェアやボットによる感染だ。同社のサイバー救急センターが2011年にマルウェア感染で緊急出動した件数は160回、標的型攻撃の相談件数は10件だった。件数は少なく見えるが、「対応メンバーによると、何十台ものPCの調査、発見された何百個ものマルウェアの解析、数年前にさかのぼっての調査などが必要になり、大変だったようだ」と、1件あたりの深刻さを明かす。
対策には、ウイルス対策やMPS(マルウェア保護システム)、ネットワークフォレンジック、振る舞い検知など、既知/未知の脅威を検知し防ぐ多層防御が有効だ。「最近の複合型攻撃は複数の対策製品を組み合わせても8割程度の防御率。1製品あたりの投資効果が低いために、経営者への説明が難しいのも課題だ」(川口氏)。
ただし、製品を導入しても運用に手抜かりがあると十分な対策にならない。セキュリティ専門家、IT専門家、一般ユーザーのセキュリティ意識の向上とレベルアップを図ることが重要と、川口氏は訴える。
こうした取り組みはすでに始まっている。学生向けセキュリティコンテスト「SECCON CTF(Capture the Flag)」やセキュリティキャンプなどはその代表だ。また、川口氏も企画運営に携わる「Hardening Zero」では、ある条件下でECサイトを運用し、インシデントレスポンスからユーザーサポートまでを含め、防御技術や売り上げなどを競った。その結果、同じ環境で同じ商品を取り扱い、同じ攻撃が発生したときでも、「運用力」の差で売り上げに3倍もの差が生じ、運用力の重要さが浮き彫りになった。
「まずは敵の狙いを理解し、自分のシステムについて把握すること。そして、モノが同じなら人と情報の力で差が出ることを認識すること」。川口氏はそうまとめて、講演を終えた。
| 【関連記事】 川口洋のセキュリティ・プライベート・アイズ http://www.atmarkit.co.jp/fsecurity/index/index_kawaguchi.html 実録、「Hardening Zero」の舞台裏 http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/040a.html |
 |
2/2 |
| Index | |
| 標的型攻撃に備える! いまできる対策のヒント @IT 情報漏えい対策セミナーレポート |
|
| Page1 基調講演〜人間力を上げて想定外に対応〜 セッション1〜Webサイトで「攻め」の保護対策〜 セッション2〜標的型攻撃対策はマルウェア対策から〜 ランチセッション〜本当は怖いFacebook〜 |
|
 |
Page2 セッション3〜進化する標的型攻撃、その新たな傾向〜 セッション4〜ゲートウェイから考える標的型攻撃対策〜 セッション5〜UTMで「1人IT部門」でも強力な対策を実現〜 特別講演〜いまできることを理解し、人材育成を〜 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
