サイバー攻撃の手法は日々進化を遂げている。新種のマルウェアやランサムウェアは秒単位で生み出され、さらにそれらがメールを通じて数百万から数千万通もばら撒かれる。このような状況のなか、セキュリティ対策もまた日々進化を遂げていかなくてはならない。

2017年9月8日に開催された「次世代セキュリティ対策セミナー」では、「未知の脅威から企業を守れ」をテーマに、最新のランサムウェア、および標的型攻撃のトレンドと、それを防ぐための技術についての解説が行われた。本記事では、FFRI 岡田一彦氏によるセッション「先読みで実現する次世代エンドポイントセキュリティ」について紹介する。

FFRI 事業推進本部 プロダクトソリューション部 マネージャー 岡田一彦氏

変化するセキュリティ対策の常識

まず、岡田氏によって、ここ2年間で発覚した「重大なセキュリティインシデント」が紹介された。そこに並ぶのは一目見てわかる有名団体・企業ばかりで、大量の個人情報を保持する企業や、国の根幹に関わるような重要機密を持つ団体の名前もある。当然ながら、それらの企業や団体は一定レベル以上のセキュリティ対策を実施していたはずである。にも関わらず、サイバー攻撃によって情報漏洩が発生した。

「つまり、最近のサイバー攻撃は、これまでのセキュリティ対策だけでは防ぐことができない。これが現実なのです」(岡田氏)

過去の常識が通用しない進化し続ける脅威

これまでセキュリティ対策の常識とされていたのは、「OSやソフトウェアは常に最新の状態にアップデートする」「ウイルス対策ソフトの定義ファイルは最新のものにする」「不審なメールは開かず、怪しいサイトは閲覧しない」などである。

ただ、現在のサイバー攻撃の中にはこれらの対策を忠実に実行していたとしても、防ぎきれないものが多数存在する。OSやソフトウェアのアップデートは「発見された脆弱性」を修正するものであり、ウイルス対策ソフトの定義ファイルも、あくまでも「発見されたウイルス」をパターンマッチングで発見するためのものである。URLフィルタリングやIPS(不正侵入防御)も、脅威の「後追い技術」であって、未知の脆弱性や未知のウイルスの対策にはならない。秒単位で世に放たれていく新種のウイルスを、これだけで防ぎきることは不可能に近いだろう。

巧妙な標的型メールが送られてくれば、ついつい開いてしまう人も出てくるだろう。近年の巧妙なソーシャルエンジニアリングを駆使した攻撃から大切な情報を守るためには、新しい常識が必要だ。

変化するセキュリティ対策の常識

どこで、どうやって防ぐのか

ネットワークの入り口となる「ゲートウェイ」のセキュリティ対策には「ファイヤーウォール」「IPS/IDS」「各種フィルター」「サンドボックス」などがある。また、実際にユーザーが作業を行う「エンドポイント」のセキュリティ対策には「アンチウイルスソフト」がある。

ただ、ゲートウェイのセキュリティ対策は犯行が実行される前のセキュリティ対策であり、正規を装った侵入に対して厳しい取り締まりができず、検知しか行わないことが多い。最近の一斉配信キャンペーンでばら撒かれるランサムウェアや高度な標的型メールは素通りしてしまうのだ。そして、結局それが悪意のあるファイルなのかどうかは、犯行現場であるエンドポイントでなければわからない。つまり、攻撃はエンドポイントで防ぐしかない。

エンドポイント上での攻撃が成立する前に防御する対策が有効

マルウェアがエンドポイントで悪意ある振る舞いをしたとしても、その時点で防ぐことができれば被害が広がることはない。悪意ある振る舞いというのは、例えば「C&Cサーバーに接続する」、「ファイルを暗号化しようとする」、「情報を外に持ち出そうとする」、などである。このようなプログラムの挙動を常に監視し、幾つかの挙動からマルウェアと判定して駆除していく方法であれば、定義ファイルに合致しない未知のマルウェアでも見つけ出すことができる。

これまでのアンチウイルスソフトのように検体の収集とパターンファイルの作成・配布といった脅威を後追いする技術ではなく、最新のマルウェアの特性や挙動の研究、それに基づく検知ロジックの技術こそが、「次世代のエンドポイントセキュリティに必須」である。

「先読み防御」技術を搭載した次世代エンドポイントセキュリティ「FFRI yarai」

定義ファイルに依存せず、振る舞いによって未知のマルウェアを検知する「先読み技術」。この技術を搭載したFFRI社の次世代エンドポイントセキュリティ、それが「FFRI yarai」である。

五つの振る舞い防御エンジンによって未知のマルウェアを検知して防御する「FFRI yarai」は、これまでに大きなセキュリティインシデントを引き起こしたゼロデイの脅威、未知のマルウェアについても、発生前のエンジンで防御成功したという検証結果が公開されている。 セキュリティ研究者の知見から得られる検知ロジックを4つの多階層の保護エンジンに搭載するのに加え、ビッグデータを利用し機械学習で得られた検知ロジックを搭載した機械学習エンジンも2013年から搭載している。

その実力は多くの企業や団体から評価され、2017年のエンドポイント型標的型攻撃対策分野において、出荷金額・本数第一位(ミック経済研究所調べ)を記録した。

「勘違いしていただきたくないのですが、既存のウイルス対策ソフトや防御方法が無意味ということではありません。既存の方法で防ぐことができる攻撃もたくさんあるからです。しかしながら、近年の高度化しているランサムウェアや標的型攻撃の脅威には"先読み防御"技術の導入が欠かせません。既存のセキュリティ対策に加えて、次世代エンドポイントセキュリティを利用する"ハイブリッド防御を行うこと"こそ有効だと考えます」と最後に岡田氏は締めくくった。

脆弱性攻撃・マルウェア侵入・マルウェア起動を多層的に防御

■FFRI yarai 防御実績はこちら

http://www.ffri.jp/products/yarai/defense_achievements.htm

[PR]提供:FFRI