Deep Discovery Advisorの発表に合わせて会見が行われ、トレンドマイクロ セキュリティエバンジェリストの染谷 征良氏と同社 エンタープライズマーケティング部 部長代行の大田原 忠雄氏が登場。標的型サイバー攻撃の現状と、DDAの製品説明を行った。

トレンドマイクロ セキュリティエバンジェリスト 染谷 征良氏

エンタープライズマーケティング部 部長代行 大田原 忠雄氏

標的型サイバー攻撃の侵入方法は、ソーシャルエンジニアリングが主流だ。特定の企業や組織に即したファイル名(電力会社であれば「原子力発電所に関する調査結果」など)を利用して、メールに偽装ファイルを添付して実行させることでバックドアを設ける。

侵入に利用するファイルは、2012年の上半期は文章アプリケーションの脆弱性を悪用したものが70%を占めていたものの、下半期は実行ファイル(zipやパスワード付きフォルダ、拡張子偽装ファイルなど)が70%になった。「時期によって傾向が変わるため、注意が必要」(染谷氏)という。

侵入方法は時期によって変わる

標的型サイバー攻撃は、バックドアを設置後、C&Cサーバに接続することで、機密データを外部に送信したり、新たな悪意のあるファイルをダウンロードする。C&Cサーバは様々な国に存在する無料ホスティングサーバに設置されることが多く、セキュリティソフトに検知されると即座にC&Cサーバの接続先を変更するケースも多いという。

また、2009年7月以降に起こった大規模攻撃「IXESHE」では、C&Cサーバを隠匿するために、ターゲット先の内部端末をC&Cサーバ化してしまうなど、攻撃者も様々な手を使い、セキュリティ網をかいくぐろうとしている。

C&Cサーバの場所は時として企業内部にも

それらの標的型サイバー攻撃に対処するために提供されるのがDDAだ。「従来のパターンマッチングだけでは未知の攻撃に対処できないが、DDAにより顧客の手元でリアルタイムに分析、対処が可能となる」(大田原氏)。

トレンドマイクロは「カスタム ディフェンス」構想を3月より打ち出している。同構想は、「検知」、「分析」、「適応」、「対処」の4つの対策で構成されており、そのうち「検知」はゲートウェイとネットワーク監視製品が、「分析」はDDAが、「適応」は分析後のデータベース共有が担い、それらによって外部通信やファイルの侵入を食い止める。

カスタム ディフェンスの概要

「検知」は既存製品で行うが、DDA連携向けのアップデートに合わせ、新しい検知エンジンが実装される。同エンジンは「Advanced Threat Scanning Engine(ATSE)」と呼ばれ、脆弱性を悪用した文書ファイルを検知することでファイルを隔離し、DDAに送信し「分析」を行う。

その後、「適応」によって出口対策まで行うが、後ろに置かれている「対処」は、トレンドマイクロの専門家による運用支援などのサポートサービスを指す。

「日々起こる小さなセキュリティイベントが、ある日突然、深刻な攻撃に繋がるケースが標的型サイバー攻撃には存在する」と話す大田原氏は、サポートサービスの必要性を語る。「専門家が深刻な事態にいたらぬように運用支援を行うプレミアムサポートを提供する」(大田原氏)。料金は、導入規模など顧客企業と相談した上で決定されるため、案内されていない。

トレンドマイクロでは、DDAを含めた標的型サイバー攻撃対策製品で、2016年までに年間売上の目標を50億円としている。