ファイア・アイは6月20日、米FifeEyeの取締役会長 兼 CEO デビッド・デウォルト氏の来日にともなう記者発表会を開催。サイバー攻撃の最新動向と同社の製品を解説した。
デビッド・デウォルト氏は、米McAfeeで社長、CEO、取締役を歴任し、米EMCでも各種役職を経験。現在は、デルタ航空の取締役と米国セキュリティ技術諮問委員会の委員でもあるため、「幸いにして、様々な経歴を経たことで独自の視点を持つことができるポジションにいる」と話す。
米FireEyeが日本法人を設立してから1年が経つが、官公庁やインフラ企業などと契約を結ぶなど、順調に成長している手応えを得ているという。その上でデウォルト氏は、「近年、セキュリティ意識の高まりを感じつつあるが、その一方で更なる啓蒙活動、そしてセキュリティ対策の意識付けが必要だと考えている」と語る。
現在、インターネットの世界は「パーフェクトストームの中にある」という。デウォルト氏は、「イノベーションが世界各地で起こっている中で、いくつもの要素が絡み合い、サイバー戦争が起きる状況が整ってしまっている」と話し、190カ国以上がサイバースパイ活動を行っている現状を語る。
その中でも、日本について「世界の中でも特にクリエイティブ性の高い国であり、知的財産を多く保有しているため、攻撃者にとって格好の標的」と語り、日本は危険な状態にある国の一つと警鐘を鳴らす。日本の政府機関や企業に対する攻撃で、マルウェアがコールバックするC&Cサーバーのうち、87%が日本国内にあるという。
これは、日本国内でサーバーを立てることで、ホストからはじかれる可能性が低くなることや言語などの環境から怪しまれるリスクが減るため、他国の攻撃者が国内で活動を行っているケースが多いと同社では分析しているという。
「日本はかなり珍しい例であり、普通はC&Cサーバーが国外にあることが多い。唯一日本に似ている国が韓国。日本との共通点は、ブロードバンド環境が全国に広がっているなど、インターネット先進国であること」とデウォルト氏は語る。コールバック先の国内比率で順位付けすると、日本、韓国に続く3位は米国。しかしその割合は、日本の半分程度の47%でしかない。
また、過去1年で日本企業の55%がサイバー攻撃による情報漏えいを報告しており、標的型攻撃については58%の企業がこれまでのサイバー攻撃よりも深刻と考えているという。企業経営者が情報の保護を行う際に、重要と考えているものは知的所有財産(79%)、顧客情報(50%)、財務情報(45%)が上位にあがっている。
パターン・マッチング検出ではないファイア・アイ製品
続いて、同社の製品特徴について説明が行われた。他社のパターン・マッチング検知モデルでは、アプリケーションなどを解析しソースコードの"0"と"1"を判別することで、シグネチャと擦り合わせマルウェアの検知を行う。この場合、シグネチャが存在する既知の脅威しか対応できず、誤検知も非常に多いという。
一方、ファイア・アイの新しい仮想検知モデル「Virtual Machine Intelligence」では、シグネチャを必要としない。仮想マシン上でファイルを実行し、C&Cサーバーにコールバックを行うと通信状況を監視することで、マルウェアかどうかを判別する。既知のものだけではなく未知の脅威にも対応できるほか、ファイルを実際に実行するため、誤検知が少なく済むという。
競合のサンドボックス製品との違いについては、「アプリケーションその物を検知する製品が多く、標的型攻撃で多く行われているマルウェアのダウンロード要求などの通信を監視している製品は少ない。機密情報などを外部に送り、データを漏えいさせるプロセスを考慮していないものはセキュリティ対策として劣る」(説明員)という。
マルウェアと判定されたファイル情報は、アプライアンス内の仮想マシンや世界中の企業内にあるFireEye製品にクラウドベースで同期される(Dynamic Threat Intelligence)。米Wal-MartやAT&T、Verizon、政府機関などにもソリューションを提供しているFireEyeのデータベースを世界中でシェアできるため、強固なセキュリティ環境を構築できるとしていた。
なお、同社の仮想マシンは、Windows XP、Vista、7などの複数環境に、各種サービスパックの適用/非適用を自由に設定できるため、幅広いシステム対応が可能だという。製品は、「インターネット環境の入口を監視するWeb MPS」、「Eメール環境を監視するEmail MPS」、「ファイル共有サーバーを監視することで、USBやDVDなどからクライアントPCに侵入したマルウェアを検知するFile MPS」を提供している。