組織化する攻撃を水際で食い止めたい
攻撃者はマルウェアを生成するツールを持っており、外形は異なるが中身を開いて見ると同じ動作をするものを送りつけるという。ファイアウォールは外から入ってくる脅威を防ぐものだが、メールを止めるわけにはいかない。いったん内部に入ってしまうと、その周囲は実に無防備であることが多い。
「USBメモリなどは無警戒に使用している状況がある。攻撃者にとって4つの手段は独立したものではない。『あれも駄目、これも駄目ならなら、次はこれ』といくつものパターンと複数の技術を組み合わせて使ってくる。例えば、メールから入ったものがUSBメモリに感染したりする。巧みにパーツ化されており、パーツの組み合わせでいかようにもなるようだ」(真鍋氏)
マルウェア単体で悪さをするだけでは、攻撃者にとっては意味がない。内部ネットワークに潜んで情報を外部へ送信したり、外部からの命令に従って動くようになって、はじめてマルウェアの本領が発揮される。
「内部から外部に向かう通信を適切にウォッチできれば、悪さしようとするのを止めることができる」と真鍋氏。「入ってしまうのは仕方がない。入ったものをいかに早く検知するか。かつ本領を発揮しようとするのを止めさせられるか。この辺りをネットワークセキュリティ機器の運用で適切にできるようになれば」と話す。
攻撃者は、80番ポートなど、通常開けてあるポートを使ってくる。しかも感染を気づかれないよう静かに潜伏する。最近のポットはツールを使わなければ専門家でも感染しているかどうか、見分けられないという。
せめて、外向きに出ていく正しい通信を選別できれば、水際でマルウェアを止めることができる。これを実現するファイアウォールなどの装置の登場を期待したい。