従来のセキュリティ対策では、パターンファイルとの照合による不正プログラムの検知方法が一般的だ。しかし、APT攻撃で使われる不正プログラムには、未知の脆弱性を付くものや亜種も多く、未知のものが内部ネットワークに侵入してくる危険性が高い。最終回となる今回は、このようなセキュリティリスクに対して有効な「チェック・ポイント 標的型攻撃対策パッケージ」の目玉機能の1つである「サンドボックス」について詳しく解説する。
問題なのは、いかにして未知の不正プログラムに対応するか
APT攻撃の手段として仕掛けられるボットの感染を避けるには、不正プログラムを検知するアンチウイルス機能がセキュリティ対策の一環として組み込まれている必要がある。もちろん、ITが企業のインフラとして定着した現在、ウイルス対策ソフトを導入していない企業・組織はほとんどないと言っていいだろう。また、ウイルス対策製品のデータベースやパフォーマンスについては、実は製品ごとの大きな差異を見出すことが難しい。
アズジェント セキュリティ・プラス統括本部 マーケティング部 マネージャー 秋山貴彦氏 |
アズジェント セキュリティ・プラス統括本部 マーケティング部 マネージャー 秋山貴彦氏は、「すでに導入されているウイルス対策製品から、他の製品へリプレースする必要はない」と語っている。一方で同氏が提案するのは、既存のセキュリティ対策をすり抜けて侵入する未知の不正プログラムを検知する仕組みと連動性を持ったアンチウイルスの仕組みを追加することだ。
「既知の脆弱性に対する不正プログラムは、ウイルス対策製品のデータベースをもとにブロックすることが可能です。しかし、いわゆるゼロデイ攻撃を含む未知の脆弱性を突いた不正プログラムによる攻撃は、既存のウイルス対策では検知することが困難です。この課題に対する最適解となるのが『サンドボックス』機能です」(秋山氏)
サンドボックスとは、検査対象のプログラムを保護された仮想領域で動作させて実際の挙動をみて不正なプログラムかどうかを判別する仕組みのことだ。
発見した不正プログラムはすぐさま反映
「チェック・ポイント 標的型攻撃対策パッケージ」のサンドボックスは「Threat Emulation」と呼ばれる。このThreat Emulationが未知の不正プログラムの検知に加え、検知した不正プログラムの情報がチェック・ポイント社にフィードバックされ、その不正プログラムのパターンコードが作られる。また、パターンコードが作成されると迅速にデータベースが更新され、同ソリューションのアンチウイルス機能に反映される。
Threat Emulationは、オンプレミス型の「チェック・ポイント 標的型攻撃対策パッケージ」で動作するだけでなく、チェック・ポイント社がクラウドベースで提供するセキュリティ情報基盤「ThreatCloud」にもサービスとして用意されている。ThreatCloudでは世界中で発見された未知の不正プログラムに関する情報が共有されており、ここで得られた情報はユーザー企業にフィードバックされる。
今回紹介したサンドボックス機能や前回紹介したアンチボット機能は、APT攻撃対策には不可欠な要素だ。
「ただし、ファイアウォールやIPSなど、既存のセキュリティ対策ソリューションまで入れ替える必要はなく、そのまま継続して利用してほしい。当社が『チェック・ポイント 標的型対策パッケージ』をお勧めする理由は、ファイアウォールやIPSといった、企業がすでに導入している製品の利用を継続しながら、APT攻撃への備えとして不足している機能を追加できるというということです」(秋山氏)
* * *
以上、本連載では、APT攻撃におけるトレンドを踏まえつつ、主な手法と対策について解説した。APT攻撃では、人手による事前調査からはじまり、最終的にはさまざまな不正プログラムを駆使して組織の機密情報に迫っていくことがおわかりいただけただろう。対策製品も急速に進化しているので、企業のセキュリティ担当者は改めて情報収集に取り組んでほしい。
本連載がITセキュリティ見直しの一助となれば幸いである。