33%が怪しいドメインにアクセス
データにより、約33%の未知のマルウェアが怪しいドメインにアクセスすることもわかりました(トップ13のうち5つはドメイン関連)。URLフィルタのような悪意のあるドメインやDNSを検知する製品から免れるために未登録や新しいドメインを使ったり、DNSサーバ自体を新たに設置するものもあることがわかりました。
この挙動に対しては、未知のドメインとの通信に関して、ファイルのダウンロードをファイルタイプなどで制限または全面禁止することなどでマルウェアが侵入する可能性を下げることができます。
また8位をみてみると「偽装拡張子のファイルをダウンロード(4.53%)」とあります。つまりファイルタイプで制限する場合、“本当のファイルタイプ”で制限しなければなりません。実行ファイル(exe)やエクセル(xlsx)などの転送を制限している組織は多くありますが、拡張子を変えた程度の偽装ですり抜けられるようだと、簡単にセキュリティを迂回されてしまいます。拡張子だけではなく本当のファイルタイプを見極められる方法でファイル転送を制御する必要があります。
また未知のドメインとの通信をIPSで念入りにスキャンすることにより脆弱性攻撃や攻撃者との通信をブロックできます。
4位に「HTTPのPOSTメソッドを利用(12.38%)」とありますが、これによりマルウェアが内部の情報を外部に送信しようとしていることがわかります。POSTメソッドは多くのウェブアプリケーションで利用されるための全体的なブロックは現実的ではありませんが、未知のドメインに対してのPOST制限により情報漏えいのリスクを減らせます。
2割のマルウェアはメールを送信
20.46%のマルウェアはメールを配信します。これは情報を盗むためや攻撃者との連絡のためにメールを使用していると思われます。これに対してはセキュリティ対策が施されているメールサーバ以外への接続を制限すればリスクを軽減できます。
標準ポート以外のHTTP通信をIPSやアンチウイルスでスキャン
9位は「非標準ポートでHTTP接続(4.01%)」という挙動です。非標準ポートのHTTP通信はマルウェアによるものだけではなく、正常なアプリケーションでも多くみられる挙動ですが、その中にマルウェアの通信が隠されている可能性があります。HTTPのアンチウイルススキャンは一般的に行われていますが、標準ポートの80番だけではなくすべてのポートを検査する必要があることがわかります。
最後に未知のマルウェアのネットワーク上の挙動をもとにした防御策をまとめます。
- 未知トラフィックに対して「アンチウイルス、IPS、データフィルタで念入りにスキャン」または「ブロック」
- 怪しいドメインへの通信に対してファイルタイプでダウンロード制限または全面禁止、IPSでスキャン、POST禁止
- 不審なメールサーバへの接続制限
- 拡張子偽装を想定したファイル送信の制限
次回は未知マルウェアのコンピューター上での動作と対策を紹介します。
- 菅原 継顕
- 米パロアルトネットワークス 日本国内で大手アンチウイルスベンダー、UTMベンダーなどでマーケティングを担当し、現在パロアルトネットワークス米国本社でシニアプロダクトマーケティングとして管理系製品、日本とアジア市場を担当。約15年、情報セキュリティに携る。
Keep up with ZDNet Japan
ZDNet JapanはFacebook、Twitter、RSS、メールマガジンでも情報を配信しています。