Tweet

ARPスプーフィング検出機能を備えたセキュアスイッチ

攻撃は「アクセスネットワーク」で防げ――ハンドリームネット

2011/12/13

　韓国のハンドリームネットと、その販売代理店を務めるネットワールドは、標的型攻撃の被害が報じられていることを受け、企業アクセスネットワークのセキュリティ強化を呼び掛けている。

　ハンドリームネット日本法人の代表取締役社長を務める朴明浩氏は、「企業は、多重対策をしてこなかったわけではない。ファイアウォールやUTMを導入して外からの脅威に備えているし、クライアントにもウイルス対策ソフトやログ管理ソフトなどを導入している。さらに、暗号化や不正接続防止機能なども備え、これ以上導入できないというところまで対策をしている。にもかかわらず、最近の巧妙化した攻撃を100％防ぐことはできない」と述べた。

ハンドリームネット日本法人 代表取締役社長 朴明浩氏

　事実、最近の標的型攻撃は、被害者に近い人物になりすましたメールをやり取りして、疑いを持たせないような形で添付ファイルを開かせ、感染させる手口を取っている。こうなると、感染を100％防ぐことは困難だ。

　こうした前提を踏まえ、クライアントPCが直接接続する企業のアクセスネットワーク部分に着目した対策が必要だと、朴氏は訴える。たとえクライアントでの感染を防ぐことができなくても、社内ネットワークでの横拡散を防ぐことによって、被害を最小限に抑えるというアプローチだ。

　ハンドリームネットは、こうしたアクセスネットワークのセキュリティを実現するため、セキュリティ機能を備えたレイヤ2スイッチ「SGシリーズ」を販売している。専用ASICと、異常を検知するMDS（Multi Dimension Security）エンジンの搭載により、フレームの処理と同時に、マルウェアの拡散につながるような動きを検出。有害なトラフィックを抜き出してピンポイントでブロックする。

　特徴の1つは、ARPスプーフィング攻撃を検出できることだ。多くの不正アクセスでは、マルウェアに感染した端末を足掛かりに、「ほかにどんな端末がネットワークに接続されているか」「重要なデータを格納したサーバはどこにあるか」といった情報を収集するため、ネットワーク内をスキャンする。時には、ARPスプーフィングによってほかの端末に成りすまし、やり取りを不正に盗み取ろうとする。SGシリーズは、通常のARPテーブルとは別にレイヤ4の情報まで記録するテーブルを作成し、盗聴やワーム拡散などの動きを検知。内部拡散や情報流出などを防ぐ。

　例えば韓国では、企業のクライアントPCに潜んだマルウェアからのDoS攻撃が問題になっているという。こうしたマルウェアは、ある端末から社内の別の端末へと感染を広め、攻撃者が指令を出すまで潜伏することが多い。SGシリーズは、こうした潜伏期間中に、マルウェアの横展開を検出できるという。

　「アクセスネットワークの部分はほとんどの会社で無防備状態にあり、対策があまり進んでいない。『100％感染を防ぐことはできない』のが前提の時代、アクセスネットワークセキュリティの確保は有効な対策だ」（朴氏）。

　ネットワーク管理者にとっては、別の運用面でのメリットもある。ネットワークに付きもののループ障害の検知機能を備えていることだ。「ループが発生したときに面倒なのが、どこで発生しているかを突き止める作業だ。SGシリーズでは、管理ツールの『Visual Node Manager』によってどのスイッチのどのポートでループが発生しているかを視覚的に特定できる」（朴氏）。

　ネットワールドとハンドリームネットでは、SGシリーズの無償貸出機の提供を積極的に行うことで、アクセスネットワークセキュリティ対策の重要性を訴えていく。また2012年には、10ギガビットイーサネット対応モデルの投入なども計画しているという。