ファイア・アイは8月8日、「FireEye標的型サイバー攻撃対策製品デモ・セッション」を開催した。今回は新製品や新サービスの発表ということではなく、標的型攻撃に対してファイア・アイの製品が検知し、対応するのかを具体的に紹介する内容となった。同社シニアシステムエンジニアである小澤嘉尚氏は、「いろいろなベンダーが標的型攻撃対応という製品を出しているが、FireEyeが実環境でどのように動作しているかをご覧いただき、その特長やメリットを知ってほしい」と述べた。
ファイア・アイのカントリーマネージャーに就任した茂木正之氏
セッションに先立ち、この8月にファイア・アイのカントリーマネージャーに就任した茂木正之氏が挨拶した。茂木氏は日本オラクルに9年間在籍し、ミラクル・リナックスの代表取締役社長を兼任した後、2010年にマカフィーに入社、エンタープライズ営業統括 取締役 常務執行役を務めた。茂木氏は「マカフィー時代からファイア・アイ製品に触れていたが、他社の製品とはコンセプトからまったく違い、顧客満足度も違う」として、完成度の高いソリューションであることを強調した。
ファイア・アイのシニアシステムエンジニアである小澤嘉尚氏
小澤氏は、「標的型攻撃の実態とFireEye製品による次世代の脅威対策」として、標的型攻撃の特長や傾向を紹介した。標的型攻撃では、標的型メールやブラウジングでのドライブバイダウンロード攻撃の遭遇によりシステムが感染し、これによりマルウェアが入り込む。しかし、この時点では実質的な被害は発生しない。次の段階では、入り込んだマルウェアがバックドアを開いてさまざまなマルウェアをインストールする。
電子メールに含まれるリンク数と添付ファイル数
そして、入り込んだマルウェアは組織内で横展開し、情報を収集するとともに重要な情報にアクセス、長期的なリモートコントロールを可能にする。これらによって得られた情報は正規の通信を装って外部の犯罪者へと送信される。最初の攻撃となるメールには、悪意あるファイルが添付される場合と、本文内に悪意あるサイトへのリンクが書かれている場合がある。従来は添付ファイルの割合が多かったが、2012年5月に比率が逆転している。これは、Javaの重大な脆弱性が明らかになった時期と一致すると小澤氏は指摘する。
電子メールによる攻撃とドメイン使用
同様に、特定のドメインを使用するメール攻撃とメッセージの量に関するグラフを示し、同じドメインを複数回使用するケースが減っているとした。これは標的が決まっているためで、攻撃は1回成功すればいいという標的型攻撃の特長を表しているとした。攻撃者にとって標的型攻撃は非常に効率のいい攻撃なのだ。特に、使い捨てドメインの使用が多くなってきている。
小澤氏は標的型攻撃のまとめとして、実際の現場で受信者に任せた運用では限界がある、問題の可能性があるメールは事前に検知、もしくは検疫して受信者以外の監視が可能でなければならないとした。さらに小澤氏は標的型メールでよく使用される手口を紹介した。長いファイル名を悪用して拡張子を表示しないようにしたり、ファイルアイコンや送信元を偽装している。よく調べればわかることだが、実際に一通一通確認していられないのが現実だ。