Tweet

標的型攻撃対策に特化した新サービスを提供開始

メールの相関関係をHadoopで分析し脅威を検出、プルーフポイント

2012/08/02

　米プルーフポイントは7月31日、標的型攻撃対策サービス「Proofpoint Targeted Attack Protection（TAP）」の提供を開始した。「Proofpoint Protection Server（PPS）」の新バージョン、7.1のアドオンとして利用できる。価格は、2000〜5000ユーザーの場合で、1ユーザー当たり年額2800円から。

　同社はこれまで主に、シグネチャおよびレピュテーションベースで迷惑メールやスパムメール、フィッシングメールをブロックするメールセキュリティ製品を、SaaSとオンプレミスの両形式で提供してきた。これに対しProofpoint TAPは、シグネチャだけでは検出が困難な未知の脅威も含めた、標的型攻撃対策に焦点を絞っている。

　「これまでのクラウドベースの技術を生かしつつ、標的型攻撃対策を支援する」（日本プルーフポイント 代表取締役社長 辻根佳明氏）。シグネチャベースのフィルタリングをかいくぐって侵入を試みる先進的な脅威に、後手に回らず対策できる機能を提供するという。

　Proofpoint TAPには、大きく分けて2つの機能がある。1つは、Hadoopによるデータマイニングによって不審なメールを検出する「アノマリティクス解析」だ。

　アノマリティクス解析では、送信者やあて先、そのドメインやIPアドレス、送信時間やメールのサイズ、あるいは添付ファイルのハッシュなど、さまざまな要素を収集する。メール単体に関するミクロ的な情報だけでなく、どの組織からどの組織に対して、どんなパターンでメールがやり取りされているかというマクロ的な情報もパターン化し、相関関係を導き出す。

　「未知のメッセージは怪しいものだが、すべてをブロックすることはできない。一口に『Unknown』といってもいろいろある。本当に見ず知らずの人なのか、それとも友達の友達なのかによって疑わしさは変わってくる」（辻根氏）。これに、サンドボックスによるマルウェア解析機能を組み合わせ、精度の高い攻撃検出を可能にするという。

　もう1つは、メール本文に含まれるURLをリダイレクトして、エンドユーザーが被害に遭うことを防ぐ「Click-Time Defense」だ。「標的型攻撃の感染の手口は大きく2つある。1つは添付メール。もう1つは外部のURLに誘導し、アカウント情報などを盗み取ろうとする手口だ」（同氏）。

　そこでClick-Time Defenseは、受信したメールに含まれるURLを、いったんProofpointに接続するように書き換えてしまう。アノマリティクス解析の結果によって、URLが危険なものではないと確認できてからはじめて、リダイレクトさせる仕組みだ。このため、万一ユーザーがURLをクリックしてしまっても、いきなり被害に遭うことはない。また、企業ネットワーク内のユーザーだけでなく、リモートオフィスやモバイル環境のユーザーに対しても保護を提供できる。

　日本プルーフポイントによると、最近の攻撃はいっそう巧妙化している。例えば、最初メールを受信した時点には無害に見せかけ、しばらく時間が経ってから悪意ある活動を開始することで、フィルタリングをかいくぐろうとするWebサイトもあるということだ。Proofpoint TAPでは複数の技術を組み合わせ、わずかな時間差を狙ってくるこうした脅威にも対策していくという。

　さらに、ダッシュボード機能の「Threat Insight Service」によって一連の状況を可視化することで、「誰が狙われているか」を明らかにし、その後の対策につなげることも可能だ。

　「いまは、『うちは小さい会社だから大丈夫』という時代ではない」（辻根氏）。同じパスワードを使い回しているユーザーを見つけ、フィッシングサイトで得た個人のアカウントから企業ネットワークに、そしてその取引先にと、芋づる式に侵入を広げていくのが標的型攻撃の常套手段だ。不審なURLが送られてきたユーザーや、それをクリックしてしまったユーザーを特定することで、その後の対策の足がかりにできるという。