インターネット上の通信を暗号化するSSL/TLS技術。第三者による通信内容の盗み見や改ざんを防ぐためのもので、今日発生している通信のうち70%~80%は、SSL/TLSによる安全化が施されたHTTPSページのトラフィックによるものだ。
「標的型攻撃の被害を最小化するネットワーク監視」の詳細は、ダウンロード資料から確認頂きたい。 |
ただ、近年、「安全性を高めるための技術」のSSL/TLS暗号化を悪用した攻撃が増加してきている。そして厄介なことにこの攻撃は、SSLトラフィックを復号化してから予兆を検知しなければ、脅威侵入を防ぐことも感染に気付くことも難しい。本稿ではこの “ネットワーク環境の変化に応じて生まれた新たな脅威” について解説するとともに、対策案として、トレンドマイクロとA10ネットワークスの複合ソリューションの「Deep Discover Inspector with A10 Thunder CFW」を紹介する。
A10 Networks + Trend Micro
標的型攻撃の被害を最小化するネットワーク監視
> > 資料ダウンロードはこちら
なぜ、SSL/TLS暗号化を悪用した攻撃が増えているのか
2013年に発生したスノーデン事件(アメリカ国家安全保障局による通信の盗聴事件)以降、SSL/TLSによる通信暗号化は急速に進んだ。GoogleがHTTPS対応サイトを検索順位上位に表示するといった背中押しもあり、2020年現在、HTTPS化されていないウェブページを探す方が大変なほどに通信暗号化は普及している。
ただ、普及に比例して、SSL/TLS通信を悪用したネットワーク攻撃の件数も増加。DyreやShylockといったSSLコールバックを利用したマルウェアもその数を増やしており、組織に対して新たなセキュリティ対策を迫っている。
なぜSSL/TLS通信を悪用した攻撃が増えているのか。理由は、「有効性」にある。暗号化された通信は、サンドボックスやIDS、ファイアウォールなどを利用してもデータの検査が難しい。セキュリティ機器でSSL/TLS可視化(暗号化された通信の復号)を行うこともできるが、性能の大幅低下を引き起こすため導入に二の足を踏む組織が多い。結果として「未対策の企業が多い=攻撃が成功しやすい」という図式が成り立ってしまっているわけだ。
SSL/TLSを利用した攻撃が一般的になってきた一方で、SSL/TLS可視化やその検査の仕組みを備えている組織は少ない。 |
対策に必要な2つの仕組み
攻撃の巧妙化も、対策の難しさに拍車をかけている。エグゼファイルを実行させるといったファイル依存の攻撃は、近年、不正コードを画像データに格納するなど「ダウンロード時に検知できない」ようなファイルレス攻撃へと姿を変えてきている。標的型攻撃の数も、依然として増加の一方だ。
ネットワーク環境の変化と攻撃の巧妙化。これらに対応するためには、「暗号化された通信の復号」と「ネットワーク内外の予兆検知」、2つの仕組みが必要となる。トレンドマイクロとA10ネットワークスの複合ソリューションである「Deep Discover Inspector with A10 Thunder CFW」は、ここまでの課題に対する1つの最適解だ。
同ソリューションでは、A10 Thunder CFW(以下、CFW)が暗号化された通信を”性能低下を抑えて” 復号化し、復号された通信内からDeep Discover Inspector(以下、DDI)が不審な通信、ファイルを検出。その後、DDIが不正な通信、ファイル、URL情報をCFWへとパスし、CFWでそれらをブロックする形で、SSL/TLS通信を悪用した攻撃に対処する。
「Deep Discover Inspector with A10 Thunder CFW」の対処の流れ。 |
* * *
SSL/TLSが一般化した今日において、暗号化されたデータの復号もまた、セキュリティ対策にあたって必須となりつつある。ダウンロード資料では、SSL/TLSを悪用した攻撃や、「Deep Discover Inspector with A10 Thunder CFW」について、その詳細を解説している。ネットワーク環境の変化や攻撃の巧妙化に対応するために、同資料を参照いただきたい。
A10 Networks + Trend Micro
標的型攻撃の被害を最小化するネットワーク監視
> > 資料ダウンロードはこちら
[PR]提供:A10ネットワークス、トレンドマイクロ