menu
セキュリティ [ Security ]

標的型攻撃に備えてセキュリティ対策を強化したい

[2016.07.13]

標的型攻撃による情報漏洩の件数が増加している。標的型攻撃は従来のサイバー攻撃とは異なり、重要情報を持つ企業にターゲットを絞って攻撃を仕掛けてくるため、既存のセキュリティ対策では不十分である場合が多い。標的型攻撃に最適なセキュリティ製品を導入することで、新たな脅威に備えたいところだ。

 


高度化するサイバー攻撃を防ぐため
より強固なセキュリティ対策が必須

 

 

権限の高いアカウントを奪取して情報を盗む


昨今、サイバー攻撃の新たな攻撃手法、標的型攻撃をうける企業が急増している。先日も大手旅行会社から大規模な個人情報漏洩が発生したが、標的型攻撃によるサイバー攻撃は非常に巧妙で、従来のセキュリティソフトによる対策では対処しきれないケースが多い。一説によると、従来のセキュリティソフトに採用されていたパターン・マッチング技術では、流通しているマルウェアの約40%しか検出できないと言われており、標的型攻撃から企業のシステムを守るためには、より強固なセキュリティ対策が必要になる。


標的型攻撃は従来のサイバー攻撃とは異なり、不特定多数を狙うのではなく、侵入して情報を盗み取りたい特定少数を狙う。攻撃の手法例としては以下の通り。


まず、ターゲットとなる企業の従業員宛に標的型攻撃メールを送付する。メールの添付ファイルには脆弱性を狙うウイルスが含まれており、従業員が誤ってクリックしてしまうと、そこからバックドアが作成される。内部に侵入したウイルスはネットワーク情報を収集して、より権限の高いアカウントの情報を取得するなど、情報を盗み出すための活動を企業ネットワークの内部で行う。そうして盗み出した重要情報は、マルウェアによって外部サーバー(C&Cサーバー)に送付される。

 


マルウェアに侵入されたあとの検知が重要に


上記のような標的型攻撃は、基本的に侵入された後は検知が難しく、知らず知らずの内に大量の重要情報が漏洩していることになりかねない。マルウェアの侵入を防ぐ入口対策だけでなく、侵入した後のマルウェアの動きを検知する内部対策、マルウェアが情報を外部に送信していることを検知して、それを防止する出口対策なども万全にする必要がある。


例えば、セキュリティアプライアンスのような製品で、企業内ネットワーク全体を監視する手法がある。不正な通信を検知したり、不審なデータをアプライアンスのサンドボックス上や仮想環境上で実行したりすることで危険度の測定を行えるため、企業の脅威となる攻撃を迅速かつ正確に把握できる。


また、パターン・マッチング方式ではない、あらたなマルウェア検知技術を採用したセキュリティ製品などもよいだろう。未知のマルウェアであっても検知できる製品であれば、エンドポイント端末がマルウェアに感染する前に検知や除去が行える。


今回はFFRI、トレンドマイクロに製品を紹介してもらった。


課 題
●エンドポイント端末を未知の脅威から守りたい
●入口出口対策から内部対策まで包括的に行いたい

 

 

 

FFR yarai
FFRI

価格:9,720円(税込)
(5〜99ライセンスの場合の1ライセンスあたりの価格)
※1コンピューターにつき、1ラインセンス必要
※1年更新のサブスクリプションライセンス

五層のエンジンでエンドポイント端末への侵入を許しません

 

 

未知のマルウェアでも防御する独自技術


独自のヒューリスティック技術「CODE:F」を搭載した標的型攻撃対策製品「FFR yarai」を提案する。CODE:Fとは、同社が独自に開発をした技術の総称だ。マルウェア特有の振る舞いを分析することで、パターンマッチング方式では困難だった未知のマルウェアから防御できる。


本製品は五層のエンジンによって、検査対象のプログラムを多角的なアプローチで分析する。まずは「ZDPエンジン」によってメールやWebページ閲覧時の攻撃など、既知・未知の脆弱性を狙った攻撃を防御する。また、特許を取得している独自の「API-NX」技術により、任意コード実行型脆弱性の攻撃も防御できる。


また、プログラムを動作させることなく分析する「Static分析エンジン」、仮想環境上でプログラムを実行する「Sandboxエンジン」、実行中のプログラムの動作を監視することで侵入したマルウェアを見つけ出す「HIPSエンジン」、FFRIが収集したマルウェアに関するビッグデータをもとに侵入したマルウェアを見つけ出す「機械学習エンジン」により、未知の脅威から多層的にエンドポイント端末を守れる。


本製品はエンドポイント端末にインストールするため、端末のプロセスやメモリーなどの多くの情報を活用した精度の高い検出が可能だ。また、パターンファイルに依存しないため、従来のセキュリティ対策製品のように毎日のアップデート作業やスキャンが不要となる。


FFRIは標的型攻撃に対して独自の視点で調査研究を進めており、国家的な研究プロジェクトにも関与してきた。本製品はそれらのノウハウを注ぎ込んだ製品であり、厳格なセキュリティ対策が求められる官公庁や重要インフラ企業での採用実績が多く、信頼性が高い。

 

ポイント1
五層のエンジンでマルウェアから防御
ポイント2
C&Cサーバーとの通信も検知可能
ポイント3
官公庁・大企業での採用実績多数

 

 

 

Deep Discovery Inspector
トレンドマイクロ

価格:237万6,000円〜(税込)
※1年分のサポートサービスおよび3年分のハードウェア保証付属

企業のIT環境を標的型攻撃から包括的に守ります

ネットワーク上の振る舞いから攻撃を検知


標的型攻撃の一連の攻撃フェーズを監視できる「Deep Discovery Inspector」(以下、DDI)を提案する。


本製品は、管理者が気づきにくい標的型サイバー攻撃やゼロデイ攻撃をネットワーク上の振る舞いから見つけ出すことで、被害の深刻化を防げる標的型攻撃対策製品だ。標的型攻撃には、攻撃の初期段階から、内部でのウイルス拡散、外部への通信までの一連の攻撃フェーズがある。DDIは、それらの一連の攻撃フェーズの検知に対応している。


本製品はミラーポートを設定されたスイッチングハブに接続して使用する。これにより、内部ネットワーク監視に加え入口・出口監視を行えるようになる。具体的には、スイッチングハブを経由する通信を解析して、不審データの侵入や、内部からの不正なWebサイトへの接続を検知し、通信やファイルの振る舞い、異常検知などの静的解析を用いて、パターンファイルだけでは検出できない攻撃を検出する。


また、解析エンジンの一つとして、ユーザーの環境に近い環境を仮想環境上に構築する「カスタムサンドボックス」で実行することで脅威をあぶり出せる。


内部対策においては、管理者権限を奪取されて実行されるアクションなどを多面的に分析して異常を検知する。例えばPsExec.exeの実行などは通常管理者が使用する限りでは問題のないコマンドだが、ドロップされるファイルが不正であれば管理者権限を奪取されている可能性がある。そうした動きを分析することで、標的型攻撃を検知するのだ。


上記のように一連の攻撃フェーズの監視が行えることに加え、例えばウイルスバスターコーポレートエディションをはじめとする、他のトレンドマイクロ製品で利用可能な脅威情報を自動生成し、その情報を活用した対処を各端末上で行えるため、既存の資産を活用しながら企業のIT環境を包括的に標的型攻撃から守ることができるのだ。


ポイント1
標的型攻撃の一連の攻撃フェーズに対処
ポイント2
スイッチングハブに接続するだけで導入完了
ポイント3
正規ツールの悪用を多面的に検知

キーワードから記事を探す