メールやウェブなどから侵入する不正なファイルを、仮想マシン上で実際に動作させて悪意のあるものかどうかを判断するサンドボックス。そのパイオニアとも呼べるのがFireEyeだ。サンドボックスは、検知されたマルウェアのパターンに当てはまるかどうかという従来の仕組みよりも迅速に脅威を検知できることから、注目を集めている。
その技術の可能性を感じたのか、FireEyeの取締役会長兼最高経営責任者(CEO)は、McAfeeのCEOだった経歴を持つDavid DeWalt氏が務めており、取締役としてSymantecの社長兼CEOだったEnrique Salem氏も就任しており、人事面でも注目を集めている。2012年6月には日本法人を設立、先頃日本で新しい脅威対策プラットフォームを発表した。
各界のエグゼクティブに価値創造のヒントを聞く連載「ZDNet Japan トップインタビュー」。今回は、FireEyeの最高マーケティング責任者(CMO)であるBrent Remai氏に現在の脅威の動向などを聞いた。
95%が攻撃を受けている
――最近の持続的標的型攻撃(APT攻撃)に、新たな動きは見られないか。
Remai 毎年、200億ドル以上がITセキュリティに使われています。これにはファイアウォール(FW)やウイルス対策、IPS(不正侵入防御システム)、ゲートウェイなどが含まれます。しかし、サイバー攻撃をめぐる状況がこの2~3年で大きく変わってきました。ウイルスやワームによる基本的な攻撃から、高度なAPT攻撃に変わっているのです。
特にここ2年で、攻撃を仕掛ける側の手法が大きく変化しました。攻撃者は組織的で専門的なグループになりつつあり、多くの場合は「国家」という(大きな)規模を対象に攻撃します。標的となるのは、資源や技術的なスキルのある国で、財務的な情報や知的財産に関する情報など、転売できる情報を狙うサイバー犯罪、サイバースパイ活動が増えています。狙いが非常に明確なことが特徴です。
また、動的でポリモーフィックなマルウェアが次々に登場しており、これは攻撃者が短時間で独自のマルウェアを作成できる能力を有していることを表しています。さらに、メールやウェブ、ファイルなど複数の脅威を組み合わせた複合的な攻撃を仕掛けてくるようになっています。たとえば、スピアフィッシングのためにメールを送りつけますが、そのメールには添付ファイルや本文内のURLリンクが組み合わせられているわけです。
攻撃側は、いくつかの段階に分けた攻撃を仕掛け、最終的にはターゲットとした組織に潜伏します。そして数週間、数カ月間、場合によっては数年間にわたって情報を盗み続けます。このように、脅威をめぐる状況が大きく様変わりし、攻撃の変化と拡大のペースが防御のペースを超えている状態にあります。
――実際に被害を受けているケースも多いのか。
Remai 約1000社の顧客と数千のFireEyeのアプライアンスによる調査では、95%の組織はすでに侵入されていることが明らかになっています。1日に換算すると90件です。そして、毎週650件の新たな感染が確認されています。侵入に成功すると、攻撃者は知的財産、(製品や事業の)ロードマップ、財務情報、顧客情報など、あらゆるドキュメントを盗んでいきます。
Brent Remai氏
現在、クライムウェアのサーバは150の国に存在しています。2年前は120の国でしたから、増加し続けています。こういった数字をなぜ把握できたかというと、FireEyeのアプライアンスは既存のセキュリティ対策の後ろに置かれているためです。
日々、ニュースの紙面を賑わすような多くの攻撃が発生していますが、それはほんの一部で氷山の一角に過ぎません。実際には公にされない攻撃被害が何千とあり、FireEyeはそれを把握しています。
――なぜ従来の対策では保護できないのか。
Remai 従来の対策、つまり次世代FWやIPS、ゲートウェイ、スパム対策、デスクトップのウイルス対策といった製品は、シグネチャやパターンマッチングといった技術を使っています。この技術は20年も前からあるものですが、新たな動的なサイバー攻撃には効果がありません。既存の防御策ではすべて通り抜けてしまうのです。
ワームやウイルスはパターンマッチング技術で防ぐことができますが、ゼロデイ攻撃やスピアフィッシングといったダイナミックな攻撃は、ユニークで未知のものです。パターンファイルがないため対応できません。しかし現状では、多くの企業が20年前の対策方法で最新の攻撃に対応しなければならない状況にあるのです。