ITをビジネスに活用している企業において、どのようなセキュリティシステムも導入していないところはないだろう。セキュリティベンダーなどの調査によれば、ほぼすべての日本企業において、ファイアウォールやPC向けのアンチウイルスソフトが導入されているという。WebプロキシやIPS/IDS、ゲートウェイアンチウイルスなども、かなり高い導入率を示している。
これらの企業向けセキュリティ対策は、決して安価なものではない。それでも導入が進められたのは、サイバー犯罪が高度化・激化して、企業の貴重なデータや金銭が狙われるようになったためだ。
以前は、膨大な機密情報を持ち、資産も多い大企業が優先的に狙われるという憶測もあったが、現実には中小企業を狙う犯罪者も少なくない。現在のサイバー犯罪は"組織的なビジネス"として行われることが多く、労力に見合った収入が得られるのであれば、対象の規模は関係ないためだ。どのような組織であっても、サイバー犯罪に巻き込まれる可能性を無視するわけにはいかない。上述したようなセキュリティ対策の導入率が高くなるのも当然だ。
ところが、相変わらず不正アクセスや情報漏洩事件の報道は絶えない。むしろ2014年には、名だたる大企業での被害が目立った。おそらく、報道されていない事件・事故も多数発生していたことだろう。
被害企業が、セキュリティ対策を怠っていたのだろうか。運用の不備が示唆されたケースもあったが、むしろセキュリティ技術を積極的に採用していた企業のほうが多かったはずだ。にもかかわらず、セキュリティ侵害に遭うのはなぜだろうか。
シグネチャ型のセキュリティ対策は未知の攻撃を検知できない
サイバー犯罪には、マルウェアが欠かせない。攻撃者は、さまざまな手口を使ってくるが、マルウェアの感染を発端にしたり、攻撃の中心に据えたりしている。マルウェアを送り込む技術も進化しており、従来のゲートウェイセキュリティ技術で多段的な防御策を講じても、一般的な通信に装って侵入してくるため検知できない。
マルウェアは、OSやアプリケーションに含まれるぜい弱性を突くものが多い。そのため、ベンダーが提供するセキュリティパッチを正しく適用すれば安全だと考える組織も少なくない。しかし、ぜい弱性が発見されたのち、パッチが提供されるまでには時間がかかる。その間に「ゼロデイ攻撃」を受ければ、被害は避けられない。メーカーに発見されていない脆弱性を突いた攻撃も過去に多数見つかっている。
アンチウイルスソフトを最新状態にしておくことも、セキュリティ対策の基本中の基本とされている。しかし最大の問題は、既存のセキュリティ対策では、最新のマルウェアを検知できなくなっているところにある。
既存のセキュリティ技術は、検知の対象や方法は異なるが、基本的には「シグネチャ」や「定義ファイル」などのデータベースを用い、不審なファイルとのマッチングを行って、マルウェアかどうかを判別している。つまり、「既知」の脅威を検知しているにすぎない。
一方、最新のマルウェアのほとんどは、「未知」の脅威である。今や、インターネットからマルウェア作成ツールを入手でき、高度な技術がなくとも容易に"新種"のマルウェアを作成することができる。セキュリティベンダーの報告によれば、1日に登場する新種マルウェアは数十万から数百万種類に達するとされている。
企業にとって大きな脅威の1つである「標的型攻撃」は、攻撃対象や手口に応じて専用のマルウェアを作成して攻撃におよぶことが多い。こっそり攻撃活動を行って、マルウェアの用が済めば、対象のコンピュータ上からすっかり消してしまうこともある。つまり、アンチウイルスベンダーがシグネチャを作る暇すら与えないというわけだ。
では、こうした未知のマルウェアをどう検知すればよいのだろうか。ファイア・アイの技術本部で部長を務める小澤嘉尚氏は、未知の脅威を検出できる新しいセキュリティ対策技術を推奨する。
「未知のマルウェアであっても、攻撃活動そのものは既知であることがほとんどです。レジストリをいじったり、システムファイルを編集したり、ネットワークに接続したりと、一般のアプリケーションなどでは不必要な行動を示します。そこで注目したいのは、PCを模した仮想化環境を用意して実際にマルウェアを活性化させ、攻撃行動そのものを検知する、一般的には"サンドボックス"、として知られている技術です。」(小澤氏)
「ファイア・アイ」をより深く理解する最新レポートことごとく破られる従来型セキュリティ、サイバー攻撃はますます巧妙化。適応型の防御戦略で未知の脅威からもIT資産を守る「ファイア・アイ」プラットフォーム。--- 詳しい資料のダウンロードはこちら https://mypo.mynavi.jp/question/cuebit/ms-150324fireeye_security/ms-150324fireeye_security.cgi |
---|
高度なマルウェアにも見破れないファイア・アイの特許技術MVXとは?
すでに多くのセキュリティベンダーが、サンドボックス型の対策製品を提供しており、導入する企業も増えつつある。しかし、攻撃者もこれに手をこまねいているわけではない。
例えば、シェアの高いVMwareやオープンソースの仮想化プラットフォームの場合、特徴的な実行プロセスが稼働しているため、それを発見したら攻撃を行わないという仕組みをマルウェア内に設ければよい。また、サンドボックスと人間(普通のPC)を区別するため、マウスやキーボードの操作が行われたら活動を開始するという仕組みも効果的だ。そのほかにもサンドボックスを回避する技術はいくつも存在する。
2004年に設立されたファイア・アイは、当初から標的型攻撃対策に特化したセキュリティ技術を開発しており、10年以上にわたってサイバー犯罪者や攻撃の手口を研究し蓄積している。
「私たちは、常に世界のセキュリティ事情に目を光らせています。2013年8月に、日本の組織をターゲットとして、マイクロソフト製品のぜい弱性を突いた標的型攻撃"Operation DeputyDog"が開始されました。当社はいち早くこれを発見・対応し、マイクロソフトにも情報提供を行いました。しかし、実際にセキュリティパッチが提供されたのは2013年10月のことで、8週間もゼロデイが続いていたのです。ファイア・アイを導入していれば安全でしたが、メディアなどで大きな話題になることもなく、多くの企業が無防備な状態でした」(小澤氏)
ファイア・アイのプラットフォームは、長年培ってきた経験・技術を基にして、攻撃者の手口を知り尽くしたサンドボックスを超える"技術"そのものである。特許技術「Multi-Vector Virtual Execution (MVX)」を用いたエンジンは、一般的なサンドボックスとは異なる思想で出来ていると言えるだろう。
Multi-Vector Virtual Executionの概念図。クラウドではなくアプライアンスとしての提供することによって、内部の仮想解析エンジンでリアルタイムに、動的に解析・対策することを実現 |
まず、ファイア・アイに組み込まれた仮想化環境は独自に開発されたもので、マウスやキーボードの操作を模したり、PC向けのマルチコアCPUのように見せかけたりと、仮想マシンとは気づかせない工夫が盛り込まれている。
また、一般的なサンドボックスは、不審なファイルやインターネットアクセスを1つ1つ個別にチェックする方法を採っている。そのため、複数のWebサイトを渡り歩いて攻撃用のエクスプロイトを入手するマルウェアや、複数のファイルから構成されている攻撃を検知しにくい。
この問題は、クラウド型のサンドボックスでも同様で、怪しいURLやメールは1つ1つクラウド側に送られるが、一連の攻撃として分析されることはない。解析までに時間がかかることも多く、被害が拡大する可能性が高い。
ファイア・アイは、アプライアンスとしての提供にこだわり、内部の仮想解析エンジンでリアルタイムに解析することを特長としている。検知のきっかけとなるURLやメールのほか、疑わしいファイルやパケットキャプチャ、システムファイルやレジストリの変更など、様々な情報を基に相関解析(マルチフロー解析)を行って、複合的な攻撃も検知することができる。
「MVXエンジンには、シグネチャマッチングの機能が搭載されています。既知の攻撃はすばやく検知して、未知のものだけ深く解析するのです。解析したマルウェアのシグネチャを自動的に生成する機能も搭載されているため、次回以降はすばやくブロックできますし、その情報をクラウドを通じて世界中のファイア・アイ機器とリアルタイムに共有することが可能です」(小澤氏)
世界中から集められる情報ですばやい対策を実現
ファイア・アイは、従来のセキュリティ技術に取って代わるものではない。ファイアウォールやIPS、アンチウイルスなどの従来のセキュリティ対策は、既存の脅威を効率よくブロックするためには重要なシステムだ。それらの弱点を補完し、検知を回避しようとする未知の脅威を効果的に防ぐものがサンドボックスであり、ファイア・アイである。ファイア・アイを多段防御の最終防壁として導入し、既知の攻撃と未知の脅威の両方に対策することが必要である。
「ファイア・アイでは、世界各地で稼働する400万以上のMVXエンジンから情報を収集し、全ユーザーで共有する脅威情報共有ネットワーク"Dynamic Thread Intelligence Cloud"を運用しています。2014年1月には、豊富なインシデントレスポンスの実績がある米マンディアントと合併し、彼らの技術や知見も統合されました」(小澤氏)
セキュリティ対策に最も重要なものは、知識・情報と言っても過言ではない。いかに技術が優れていたとしても、ベースとなる情報が少なくては意味がないためだ。こうした膨大なセキュリティ情報を活用できるのも、ファイア・アイユーザーの特権と言えるだろう。
「ファイア・アイ」をより深く理解する最新レポート--- 本レポート『実環境での検証から見る 多層防御セキュリティに潜む問題点』では、実環境における多層防御モデルの有効性を追跡調査。マンディアント社が、世界63か国、20以上の業種にわたる1,200以上のネットワーク環境から収集した実際のデータを使用して分析を行っている。その分析結果は、従来型セキュリティ・アーキテクチャの限界を示す非常に厳しいものとなってしまった。 ▼詳しい資料のダウンロードはこちら https://mypo.mynavi.jp/question/cuebit/ms-150324fireeye_security/ms-150324fireeye_security.cgi |
---|
[PR]提供: