前回は、APT攻撃から機密情報を守るために有効な具体的なソリューションとして、従来型セキュリティ対策に加え、「不正プログラムの侵入を検知する」「C&C(Command and Control)サーバーへの通信をブロックする」「未知の不正プログラムを検知する」という3つの対策の必要性を説いた。今回はAPT攻撃対策の1つとして有効なアンチボット機能が果す役割について解説する。

ネットワーク内部からの情報流出を防ぐ「アンチボット」

「ボット」はもともと「ロボット」を語源とし、攻撃者がロボットのように意のままに操って、侵入したPCや内部ネットワークから情報を窃取したりする不正プログラム=マルウェアの一種である。従来のウイルスは「感染拡大」を主な目的としていたが、APT攻撃におけるボットは攻撃者が何かしらの目的を果すためにPCにボットを感染させる。

前回は、APT攻撃から機密情報を守るには、既存のセキュリティ対策では不十分であり、不正プログラムの侵入を防御する必要があると解説した。もちろん、ボットも既知のものであれば、ほとんどのウイルス対策ソフトが対応している。だが、ボットには亜種が非常に多いうえ、ターゲットとなる企業・組織のみに送られてくる限定的かつ発見が困難なものもたくさんある。

したがって、ボットの侵入を100%ブロックすることは難しい。そのため、たとえボットの侵入を許してしまったとしても、ネットワーク内部の情報を流出させないための対策を講じることが必要となる。そこで重要な役割を果たすのが、アズジェントが提供する「チェック・ポイント 標的型攻撃対策パッケージ」に用意された「アンチボット」機能だ。

「アンチボット」の仕組みと役割

アズジェント セキュリティ・プラス統括本部 マーケティング部 マネージャー 秋山貴彦氏

ボットに感染したPCは、攻撃者の制御下にあるC&Cサーバーからの指令を受け、企業・組織の内部ネットワークでさまざまな活動を開始する。よくあるのが、C&Cサーバーからボットを経由し、PCの管理者権限を盗まれ、そのPCが遠隔操作されてしまうケース。このような場合でも、C&Cサーバーとの通信さえブロックできれば遠隔操作が不能になり、ボットは攻撃者にとって何の役にも立たなくなる。これを実現するのが「アンチボット」機能だ。

アズジェント セキュリティ・プラス統括本部 マーケティング部 マネージャー 秋山貴彦氏は「アンチボット」の機能について以下のように説明する。

「アンチボットは攻撃者の"隠れ家"であるC&CサーバーのIPアドレスやURL、DNS情報などをブラックリストとして持っています。また、ボット固有の通信パターンなどもデータベースに保管されています。したがって、C&Cサーバーが稼働する不正サイトに内部ネットワークのPCが通信しようとすると、アンチボットが止めてくれるわけです。また、ボットをはじめとする不正プログラムは、外部ネットワーク以外からも侵入し、USBメモリなどの外部記憶メディアを介して感染するケースも多いです。様々な経路で侵入をしてくるボットに対して、チェック・ポイントのアンチボットは、とても有効な対策手段です」

アンチボットの機能を見極める

秋山氏によると、ボット対策で重要な点は、情報収集能力とその情報を素早く配信する仕組みだという。

「情報収集力の高いセキュリティベンダーでは、いわゆる『ハニーポット』を用意してボットを収集し、その行動を分析したパターンをデータベースに蓄積しています。簡単な例では、『定期的に同じ時刻に通信が行われる』といった機械的な行動などがデータベース化されています。そうした行動パターンや兆候は、実は似通っているところがあるので、既知のボットとはパターンが一致しなくても、ヒューリスティックな検知が行えるアンチボット機能を選択すべきです」(秋山氏)

「チェック・ポイント 標的型攻撃対策パッケージ」は、少人数、もしくは"ひとり情シス"の企業におけるセキュリティ対策の運用効率を最大限に考慮したセキュリティ対策ソリューションであり、チェック・ポイント社が提唱する「協調型ネットワーク」という考え方がベースとなっている。

これは、世界各地にハニーポットを用意してボットの情報を収集・分析するとともに、ユーザー企業が運用するチェック・ポイント製品も使って収集した不正サイト情報などをクラウド上のデータベースに蓄積するもので、このデータベースは全世界の標的型攻撃対策パッケージにも反映される仕組みだ。この仕組みを担うのが「ThreatCloud」であり、アンチボットで重要な役割を果たしている。

ボットの振る舞いからC&Cサーバーへの通信をブロックするアンチボットは、APT攻撃対策として必要不可欠である。しかしながら、アンチボットだけでは、セキュリティ対策としては十分とは言えない。そこでポイントとなってくるのが、未知の不正プログラムを検知するサンドボックス機能「Threat Emulation」だ。

連載最終回となる次回は、このサンドボックス機能の働きについて解説する。