URL Filteringによってマルウェアとの不正な通信を遮断。出口対策によって被害を最小限に防ぐ

入口対策では侵入を100%防ぐことはできない。であるのならば、万が一侵入された場合に被害を最小限に抑える出口対策が重要となる。

下の図は、標的型攻撃によりマルウェアに感染した状況を表したものだ。標的型攻撃の第二段階は、マルウェアに感染させたPCを遠隔操作し、さらに奥深くへと侵入を試みる。なお、その遠隔操作はC&Cサーバ(※)を経由して行われる。つまり、マルウェアに感染したPCとC&Cサーバ間の通信を遮断してしまえば、被害を抑えることができる。そして、そのための手法が「URL Filtering」だ。

具体的にはC&Cサーバの情報を収集したデータベースの情報を元に、そのURLへとアクセスしようとする通信をブロックする方法である。例えば、クオリティソフトが提供する「QND Advance」には、C&Cサーバの情報を含む、約70種以上のカテゴリのURL情報を元に、WEBアクセス管理を行うことができる。

万が一、入口対策をすり抜けてきたマルウェアに感染した場合でも、「URL Filtering」による出口対策が機能すれば、外部からの遠隔操作を防ぐことが可能だ。

※C&Cサーバ(Command and Control server):マルウェアに感染したPCに対して命令を送り制御するサーバーコンピュータのこと。

攻撃者はC&Cサーバを利用して遠隔操作を行い、組織の機密情報を搾取

標的型攻撃を対処する3つの施策

現状、標的型攻撃を防ぐ主な手段としては、3つが考えられる。

標的型攻撃の対処手段と、それぞれの策に対応するクオリティソフトのソリューション名

1は最低限必要な入口対策である。勿論、この中にはウィルス対策などのセキュリティ対策ソフトも含まれる。

前述した通り、入口対策だけで標的型攻撃を防ぎきることはできない。だが、入口が強固であればあるほど侵入するために必要な時間と手間が掛かる。それにより攻撃が発覚する可能性が高まると同時に、対策を講じる時間を稼ぐことも可能となるだろう。

2は「URL Filtering」などの出口対策。前述したように、攻撃を検知できず侵入を許してしまっても、外部向けの通信を遮断することで被害を抑えることが可能となる。

3は言い換えれば攻撃の見える化だ。ログを取得し定期的に監視・監査を行っていなければ、攻撃を受けたかどうかも分からない。更に、侵入された際に、その全てを潰していくためにもログの存在は必要不可欠である。

出口対策には「URL Filtering」以外にも様々な手段がある。その中には、「URL Filtering」以上に強固な手段もある。だが、それらは総じて高価であり運用のハードルも高い。如何に標的型攻撃が脅威であろうとも、簡単には手が出せない代物である。

「URL Filtering」だけでは決して完璧な出口対策とは言えない。だが、前述の1や3と組み合わせて効果を高めることは可能だ。まずは手の届く範囲で、できることをしっかりとする。それが標的型攻撃対策の第一歩となる。

今回紹介した「QND Advance」の「URL Filtering」機能は、2015年1月より提供開始予定だ。2015年3月までキャンペーンを実施しているので、URLフィルタリング製品に興味のある方はぜひ問い合わせていただきたい。

<発売キャンペーンに関するお問い合わせ>
sales@quality.co.jp

<QND Advanceについて>
http://www.quality.co.jp/ad/qnd2/

[PR]提供:クオリティソフト