7月に東京都内で開催されたマイナビニュースITサミット Webセキュリティ『2012年度版 最新脅威対策講座』では、ソリトンシステムズ プロダクトマーケティング部 遠藤健志氏が、「標的型攻撃に直面する企業ネットワークへの入口/出口対策」と題して講演。一般企業にも脅威を与えつつある標的型攻撃のメカニズムを明らかにするとともに、攻撃に対抗するために必要となる入口対策と出口対策を含む包括的な対策のあり方を紹介した。

一般企業にも脅威を与え始めた標的型攻撃

ソリトンシステムズ プロダクトマーケティング部の遠藤健志氏

標的型攻撃は、2011年に国内の大企業や官公庁への本格的な攻撃が発覚し、その脅威が一般に広く知られるようになった。IPA(情報処理推進機構)が発表した「2012年版 10大脅威」では、2010年に5位だった「新しいタイプの攻撃」が2011年には一気にトップに躍り出た。新しいタイプの攻撃とはまさに標的型攻撃を指している。

従来まで、マルウェアへの感染は、電子メールの添付ファイルを開いたり、危険なWebサイトを閲覧したり、ファイル共有ソフトを利用したりといった単一の原因により発生することが多かった。しかし、最近では、人をだますテクニックやセキュリティ対策を巧妙にすり抜けるテクニックを駆使した戦略的で複合的な攻撃が増えている。

実際の現場の状況はどうなのか。セキュリティアプライアンスを提供するソリトンシステムズのサポートセンターへの問い合わせ内容の傾向を見ると、セキュリティをすり抜けてしまう標的型メールが報告され始めたのは、3年ほど前からのことであり、当初は標的型攻撃に関する問い合わせのほとんどは官公庁ユーザーからのものだった。しかし、最近では一般の企業ユーザーからの問い合わせが増えてきているという。

「特に最近は、『標的型攻撃の対策を行いたいが何をすればよいか』という漠然とした問い合わせが増え、企業ユーザーの多くが、標的型攻撃に不安を感じながらも、有効な対策がわからないという現状が窺える」と、遠藤氏は指摘する。

遠藤氏によると、一般的な標的型攻撃の流れはこうだ。まずボットネットなどから特定の人物を装って送信元を偽装したスパムメールが既存のセキュリティ対策をすり抜けてエンドユーザーに配信される。エンドユーザーがいつもの安全なWebサイトだと思い込んで電子メールのリンクをクリックすると、巧妙に作られた危険なサイトにリダイレクトされ、URLフィルタリングなど既存のセキュリティ対策をすり抜けて、新種のマルウェアがエンドユーザーのPCに送り込まれる。

一般的な侵入フェーズの流れ。標的型メールから始まるケースが多い

エンドユーザーのPCに感染した新種のマルウェアは、だれにも気つかれないように潜伏を続け、外部のボットネットと通信を行いながらアップグレードと機能強化を繰り返して悪事を働くチャンスを待つのである。エンドユーザーが、自分のPCがマルウェアに感染していることに気づくことはまずない。

侵入後は、マルウェアによってさまざまな攻撃をしかける

こうした新種のマルウェアへの感染は年々増え続けている。その感染源は、かつては電子メールが主流であったが、最近では、Web経由での感染が急増し、電子メール経由での感染を上回っているという。

Webサイトアクセス対策で入口対策を強化

こうした標的型攻撃にどう向き合うべきか。遠藤氏は、企業ネットワークの入口対策、とりわけWebサイトアクセスに対する対策をこれまで以上に強化する必要があるとアドバイスする。

同氏が提案する対策の1つが、未知の脅威サイトに対する対策の強化であり、それを実現してくれるのがWebレピュテーション情報の活用である。これは、セキュリティ情報をクラウドベースでリアルタイムに提供する脅威情報センターの最新のデータベースの情報を基に、Webアクセスの制御を実現するというもの。

例えば、Webセキュリティアプライアンス「IronPort WSA(Web Security Appliance)」で活用されている、世界最大級の脅威情報センター「Cisco SIO(Security Intelligence Operation)」では、全世界の約100万台のセンサーから収集した脅威情報をルール化し、約200段階のスコア情報として提供している。これにより、スコアの高い危険なサイトのブロックだけでなく、スコアが中位の怪しいサイトにも柔軟な制御が可能になる。

Cisco SIOの特徴

もう1つの提案は、Webアプリケーションの可視化と制御である。それを実現してくれるのがIronPort WSA の「AVC(Application Visibility Control)」と呼ばれる機能である。これは、FacebookやTwitter、Messengerなど115種類に上るHTTPベースのアプリケーションのアクセスを可視化し、その利用を制御するというもの。アプリケーションごとにアクセスの制御や帯域幅の制御を細かに行うことができる。

例えば、Instant Message系のアプリケーションの場合は、ファイル共有のみをブロックしたり、メディア系のアプリケーションの場合は、帯域幅を制御したりなど、Webアプリケーションの利便性を保持しながら、危険な行為や不必要な行為を排除することが可能となる。

外部への通信を可視化する出口戦略の重要性

標的型攻撃対策を有効に行うためには、これまで紹介してきた入口対策の強化だけでなく、社内から社外への通信トラフィックを可視化し、危険な通信を検知して適切にブロックする出口対策が不可欠になる。

遠藤氏は、「標的型攻撃対策を実現するためには、入口対策を担うWebプロキシ機能とともに、出口対策を担うトラフィック・モニタリング機能も統合的にサポートする必要がある」と強調する。

IronPort WSAのトラフィック・モニタリングは、脅威情報センターの脅威情報を基に、社内ネットワークの全ポートをスキャンして、外部の不正サイトへのトラフィックを可視化し、危険な通信を自動ブロックする機能である。

IronPort WSAのトラフィック・モニタリングの特徴

この機能を利用すれば、マルウェアによる悪意のある通信だけでなく、評判の悪いアドオンを勝手にインストールするサイトやトラッキングクッキーが動作するサイトへのトラフィックなど、業務に関係ないと思われるダークトラフィックを制御し、ネットワーク・アクセスの効率化を図ることも可能になる。

遠藤氏によると、ある自治体において、IronPort WSAを1カ月間試用してもらったところ、端末数が150台程度しかないにも関わらず、約2万6000もの大量の怪しい通信が見つかったという。これは、試用によって初めて明らかになったもので、出口対策の重要性を象徴するものと言える。

同氏はまた、標的型攻撃に対応する入口対策の一環として、メール受信対策の見直しを行うことも重要だと指摘する。標的型メールが増加する現在、既存のSMTPレベルの対策だけでは十分ではなくなっている。メールにおいてもレピュテーション情報の活用が重要になるほか、ここに来て普及率が高まってきたSPFなどの送信者認証技術の活用も検討すべき課題として浮上している。また、検知精度の高いスパム検知機能の利用や、ゼロデイ対策の実施など、怪しいメールは可能な限り受信しないようにする努力が求められる。

遠藤氏は、こうしたニーズに対応する製品として「IronPort ESA(Email Security Appliance)」を紹介。スパム防御、ウィルス防御、メール暗号化、DLP(Data Loss Prevention:機密データを識別して持ち出しを防ぐ機能)フィルタなどの機能を備え、全方位のメールセキュリティソリューションを提供していると強調した。

遠藤氏は、「標的型攻撃に対応するためには、従来のアンチウイルスも含め、有効な機能を適切に組み合わせた多層的な防御を行う必要がある」としたうえで、「入口対策と出口対策を含めた包括的な対策が重要になる」と、講演を締めくくった。