ホーム > PC-Webzineアーカイブ > トレンドマイクロ「Deep Discovery Inspector」で内部侵入した未知の脅威を可視化

トレンドマイクロ「Deep Discovery Inspector」で内部侵入した未知の脅威を可視化

トレンドマイクロ「Deep Discovery Inspector」で内部侵入した未知の脅威を可視化

2017年08月07日更新

ITのデトックス
データの脱メタボ

社内システムにいつのまにかマルウェアが潜り込んでいる。そして、社内情報が知らぬ間に社外に送り続けられている。そんな状況にある企業がもしかしたら少なくないのかもしれない。サイバー攻撃の被害が相次ぐ今、社内のセキュリティ環境を見直して、溜まりかけた毒素を排出(デトックス)できる環境を構築すべき時期が到来しているようだ。合わせて、増えすぎたデータの棚卸し(脱メタボ)も実行し、データを的確に保護できる環境も整備したい。

「感染前提の対策では、ログ監視、挙動監視よる早期発見、駆除できるシステムが不可欠」

マルウェアに侵入されている企業は4社に1社

今年の5月と6月に発生したランサムウェアの世界的な被害は、改めてサイバー攻撃の恐ろしさを顕在化させた。企業はいつでも犯罪者たちのマルウェアの餌食になり得ることが浮き彫りになったが、ランサムウェアについては被害がすぐに表面化するという特長があった。攻撃者側は感染の事実を知らせて身代金を要求するのがランサムウェアの手口だからだ。

一方で、マルウェアに感染していることを気づかせないで内部情報などを継続的に搾取する標的型サイバー攻撃のリスクも依然として存在している。トレンドマイクロによると、標的型サイバー攻撃による被害の公表事例は減少しているが、マルウェアに侵入されている企業は「4社に1社」の割合で発生しているという。これは同社が監視サービスを行った事例から無作為に抽出した100件の調査において、標的型サイバー攻撃の疑いのある通信(RAT通信)を確認した法人組織の割合が25%という結果による。2016年上半期には、月平均で59万件の不審な通信を確認したという。

標的型サイバー攻撃の攻撃手法は以下の通り。

①事前準備
攻撃先決定、偵察、初期潜入用の不正プログラムの準備、C&C(Command&Control)サーバー準備

②初期潜入
標的型メールの送信、受信者による添付不正プログラムの実行

③端末制御
C&C通信による遠隔操作の確立、感染環境の確認

④情報探索
内部活動ツールの送出、LAN内情報の探索

⑤情報集約
有益な情報の収集

⑥情報送出
収集した有益情報を外部に送出

「標的型サイバー攻撃では、攻撃前に対象を徹底的に調べあげます。社内システムなども調査した上で不正プログラムを作成するため、いわば成功前提で攻撃されるわけです。そうした攻撃を止めるのはかなり難しいと言わざるを得ません」(トレンドマイクロ プロダクトマーケティング本部 コンテンツセキュリティグループ シニアマネージャー 宮崎謙太郎 氏)

トレンドマイクロ プロダクトマーケティング本部 コンテンツセキュリティグループ シニアマネージャー 宮崎謙太郎 氏

まずは未知の脅威を可視化

標的型サイバー攻撃の特性によって、これまでは「攻撃に気づけない」「脅威へ対処するまでに時間がかかる」「被害が拡大してしまう」といった悪循環が形成されていた。特定の企業を狙った未知の不正プログラムは従来型のアンチウイルス対策などでは検知が難しく、社内システムに長くとどまって情報を搾取され続けてしまうリスクが高い。そのため、現在では「侵入されることを前提」とした対策の導入が常識になりつつある。そうした対策において重視されるのは、企業のシステム内に侵入した脅威をいち早く顕在化させる機能と迅速に対処できる体制だ。

この視点からトレンドマイクロは、社内システムに侵入した未知の脅威を可視化できるソリューションとして「Deep Discovery Inspector」を提供している。スイッチに接続して利用するDeep Discovery Inspectorは、標的型サイバー攻撃による初期段階から内部への拡散、外部への通信に至る攻撃フェーズを監視するソリューションだ。具体的には、不審なデータをサンドボックス上で実行して危険度を判定したり、不正なWebサイト(C&Cサーバー)への接続を検知したり、サーバーへの不正な通信を検出したり、マルウェアに感染したクライアントの特定と内部活動の原因究明を可能にしたりする。

「Deep Discovery Inspectorで未知の脅威の可視化が可能になりますが、可視化後には、ログの精査やパターンファイルの生成と端末への配布といった対処も必要になります。理想的な対応は、検知から処理までのプロセスの自動化ですね」(宮崎氏)

そこでトレンドマイクロでは、「Connected Threat Defense」というプロセスを提案している。これは、未知の脅威の発見から解析、シグネチャの生成、端末への配信・管理、脅威のブロックまでの一連の流れを同社の各製品を連携させて自動で実現する仕組みだ。具体的には、Deep Discovery Inspectorが不審なファイルを解析しカスタムシグネチャを作成、Connected Threat Defenseの連携の中核となる「Trend Micro Control Manager」に配信する。Trend Micro Control Managerから「ウイルスバスター コーポレートエディション」を経由してサーバーやクライアントに配信され、未知の脅威の検知、ブロック、隔離が実現する。

「システムに侵入した未知の脅威に対抗するためには、まずは可視化が必要です。Deep Discovery Inspectorの導入がそうした未知の脅威の迅速な検知を可能にするのです。さらに、当社の他のソリューションとの連動によるConnected Threat Defenseによって、早期の対応、被害の最小化も実現します」(宮崎氏)

まずは未知の脅威を可視化

標的型サイバー攻撃の特性によって、これまでは「攻撃に気づけない」「脅威へ対処するまでに時間がかかる」「被害が拡大してしまう」といった悪循環が形成されていた。特定の企業を狙った未知の不正プログラムは従来型のアンチウイルス対策などでは検知が難しく、社内システムに長くとどまって情報を搾取され続けてしまうリスクが高い。そのため、現在では「侵入されることを前提」とした対策の導入が常識になりつつある。そうした対策において重視されるのは、企業のシステム内に侵入した脅威をいち早く顕在化させる機能と迅速に対処できる体制だ。

この視点からトレンドマイクロは、社内システムに侵入した未知の脅威を可視化できるソリューションとして「Deep Discovery Inspector」を提供している。スイッチに接続して利用するDeep Discovery Inspectorは、標的型サイバー攻撃による初期段階から内部への拡散、外部への通信に至る攻撃フェーズを監視するソリューションだ。具体的には、不審なデータをサンドボックス上で実行して危険度を判定したり、不正なWebサイト(C&Cサーバー)への接続を検知したり、サーバーへの不正な通信を検出したり、マルウェアに感染したクライアントの特定と内部活動の原因究明を可能にしたりする。

「Deep Discovery Inspectorで未知の脅威の可視化が可能になりますが、可視化後には、ログの精査やパターンファイルの生成と端末への配布といった対処も必要になります。理想的な対応は、検知から処理までのプロセスの自動化ですね」(宮崎氏)

そこでトレンドマイクロでは、「Connected Threat Defense」というプロセスを提案している。これは、未知の脅威の発見から解析、シグネチャの生成、端末への配信・管理、脅威のブロックまでの一連の流れを同社の各製品を連携させて自動で実現する仕組みだ。具体的には、Deep Discovery Inspectorが不審なファイルを解析しカスタムシグネチャを作成、Connected Threat Defenseの連携の中核となる「Trend Micro Control Manager」に配信する。Trend Micro Control Managerから「ウイルスバスター コーポレートエディション」を経由してサーバーやクライアントに配信され、未知の脅威の検知、ブロック、隔離が実現する。

「システムに侵入した未知の脅威に対抗するためには、まずは可視化が必要です。Deep Discovery Inspectorの導入がそうした未知の脅威の迅速な検知を可能にするのです。さらに、当社の他のソリューションとの連動によるConnected Threat Defenseによって、早期の対応、被害の最小化も実現します」(宮崎氏)

カスペルスキー コーポレートビジネス本部 技術統括部 統括部長 関場哲也 氏

ただし、「高価な専用製品を導入したり、専門の人員がいなければ運用できないソリューションでは意味がありません」と関場氏は指摘する。そして、「『Kaspersky Endpoint Security for Business』ならば、標準機能で振る舞いの記録やロールバックなどが利用できます」とアピールする。

Kaspersky Endpoint Security for Business のAdvanced に標準装備されている脆弱性管理機能で利用できる脆弱性レポートの画面。

Kaspersky Endpoint Security for Businessには、「システムウォッチャー」という機能が搭載されている。これは、PC上のアプリケーションによって実行された動作に関するデータを記録し、ファイルやレジストリの改ざん、外部ネットワークへの不正な接続、脆弱性を狙った攻撃などの動作があった場合にブロックできる機能だ。「動作ログの取得によって、不正なプログラムが悪さを始めたら止めることが可能になります。不正プログラムの侵入後に役立つ機能です」(関場氏)

ブロックだけでなく不正なプログラムによる処理を元に戻すロールバックも行える。現在のセッションと以前のセッションも含めて疑わしい動作に関する情報が収集されるため、後で悪意のあるアプリケーションとして判明した場合でも、そのアプリケーションで実行された処理を元に戻せるのだ。

さらにシステムウォッチャーでは脆弱性を狙った攻撃もブロックできる。Adobe ReaderやInternet Explorer、Microsoft Officeなどの頻繁に狙われるアプリケーションの挙動を監視して、不審な実行ファイルが起動されようとした場合、追加のセキュリティチェックを行ってブロックする。

脆弱性の管理がこれからのキーワード

関場氏は、「これからは脆弱性を管理できるソリューションの注目度が高まっていくでしょう」と見解を明かす。プログラムの不具合や設計ミスによって生じる脆弱性は、さまざまなサイバー攻撃に利用されるため、その管理を徹底できるかどうかが、サイバー攻撃の被害に遭う確率を左右する。アプリケーションに脆弱性が発見された後はメーカーからパッチの適用が促されるが、それらがすべてのシステムに適用されることはまずなく、発見された脆弱性を利用した攻撃のリスクにさらされることになる。

「管理する端末やシステムの脆弱性を人手ですべて把握するのは困難です。端末のパッチ適用を従業員個人に任せているケースも少なくありません。そうした状況下において効果的なのが、脆弱性を管理できるツールです」(関場氏)

例えば、Kaspersky Endpoint Security for BusinessのAdvancedエディションでは、クライアント端末にインストールされているアプリケーションの脆弱性の定期的な監査を可能にし、定時レポートを作成できる機能が搭載されている。パッチ適用の強制実行やスケジュール実行なども可能で、サイバー攻撃によって狙われる脆弱性の穴を攻撃前に埋められるようになる。「レポートでは重要度も把握できるため、その重要度に応じたパッチ適用も可能です」(関場氏)

エンドポイントセキュリティ製品であるKaspersky Endpoint Security for Businessの導入によって利用できるEDR系の機能や脆弱性対策は、費用をかけられない中小企業にとって魅力的だ。関場氏はKaspersky Endpoint Security for Businessを切り口にした提案手法について次のようにアドバイスする。「費用対効果が高いため、販売パートナーの皆さまにとっては、エンドユーザーに対してセキュリティの見直しを促せます。また、販売パートナーの皆さまが脆弱性レポートを活用すれば、エンドユーザーのシステム環境を知るチャンスにもなり、そこから新たな提案の機会も創出できるでしょう」

ライフサイクルで守る

「すべてのサイバー攻撃からシステムを100%守りきるのは今や不可能です。すり抜けることを前提としたセキュリティ対策が不可欠になっています」

マカフィー マーケティング本部 ソリューション・マーケティング部 部長 平野祐司氏もこう語るように、すでにアンチウイルス製品やゲートウェイ製品だけでサイバー攻撃を防御できる時代は過ぎ去った。現在は、社内システムに侵入されることを前提として、被害を最小限に抑えられる仕組みの構築が主流となってきている。

マカフィー マーケティング本部 ソリューション・マーケティング部 部長 平野祐司 氏

マカフィーが提唱しているのは「脅威対策ライフサイクル」だ。そのサイクルを構成するのは、「Protect(防御)」「Detect(検知)」「Correct(復旧)」「Adapt(適応)」の四つ。Protect(防御)は、従来のアンチウイルスやゲートウェイ製品によって実現されるが、現在はそれだけでは十分ではない。システムに侵入された場合でも、その兆候などを素早く検知(Detect)して、被害を速やかに復旧(Correct)できることが重要だ。

その際、検知(Detect)の部分では、セキュリティシステム、OS、ミドルウェアなどから得られるログやイベント情報を集約して脅威を検知し、復旧(Correct)の部分で、脅威の調査、状況把握、一次対応で負担の大きな運用プロセスを自動化して被害を最小化する。そうして得られた情報をライフサイクルにAdapt(適応)させて防御力や運用効率を高める。それが、マカフィーの脅威対策ライフサイクルというアプローチだ。

「現在は、何らかのインシデントが発生した際は、担当人員が総出でシステムを点検して、それでも原因がわからない場合は外部に依頼するようなケースが少なくありませんが、それでは時間とコストがかかり過ぎてしまいます。投資対効果の側面からも、脅威対策ライフサイクルの考え方から自動化できる仕組みが求められます」(平野氏)

インシデントレスポンスを自動化

マカフィーが提唱する脅威対策ライフサイクルのDetect(検知)やCorrect(復旧)部分で効果を発揮するのはEDRソリューション「McAfee Active Response」だ(「McAfee Endpoint Threat Defense and Response」に統合されている)。主な機能は以下の通り。

コンテキスト情報を収集し、システムの状態を常時監視。攻撃の兆候の可能性がある変更や潜伏している攻撃コンポーネントを検出して、分析、運用、フォレンジックに向けた脅威情報をセキュリティ担当者に自動的に送信する。

実際の攻撃やその可能性のある挙動に関する警告を受けた際に、攻撃の状況に合わせてデータの自動収集、アラート、対応方法を自社のポリシーに合わせてカスタマイズ可能。脅威を検出・駆除できるように事前に設定された対応アクションを実行する。

攻撃イベントを検出した場合は、自社システムからデータを検索して表示する「コレクター」が、あらかじめ対応アクションなどを設定した「トリガー」を実行し、ユーザーとシステムに攻撃があったことを警告する。一つの命令セットで、重要なイベントや状態の変化を継続的に監視できる。

「怪しい通信があれば遮断し、ファイルをサンドボックスに送って分析します。不正なプログラムが検出されれば駆除し、そのデータはフィードバックして検知率の向上に役立てます。脅威対策ライフサイクルの中でこのような役割を果たすMcAfee Active Responseの活用で、サイバー攻撃への対応力を上げていただきたいですね」(平野氏)

 続きを読む  ソリトンシステムズはEDR機能と次世代型アンチウイルスを融合

キーワードから記事を探す