標的型攻撃では、標的を入念に調査していることも特長だ。標的型メールは標的の周囲にいる実在の人物から届き、メールの署名も同じものが使われている。小澤氏は実際に標的型攻撃に使用されたメールを紹介し、これでは標的が開いてしまうのも無理はないとした。特に、添付ファイルを開くことが仕事である人事部はひとたまりもない。また、ニューヨーク・タイムズの事例に対応したウイルス対策メーカによるコメントも紹介した。それは「シグネチャベースのアンチウイルスソフトウェアを有効にするだけでは十分ではない」というものだった。現実には、ウイルス対策ソフトで止められる標的型攻撃は50%に満たないという。
ファイア・アイのシステムエンジニアである山下慶子氏
続いて、同社のシステムエンジニアである山下慶子氏が、標的型攻撃のデモを行った。これは、攻撃者と標的側のシステムを仮想的に構築し、標的型攻撃を再現するというもの。山下氏はデモの見どころとして、「攻撃を作成するのはどれだけ難しいのか」「ユーザーは感染に続くことができるか」を挙げた。まずは標的に対して、本文にリンクが設定されたメールを送信する。リンクは、表記と異なる悪意あるサイトにジャンプするように設定を行う。
デモンストーレションシナリオ
攻撃者のシステムでは「back track 5」というソフトを起動する。このソフトにはリモートコントロール機能があり、本来は正当な目的で使用されるものだが、容易に使用できるので攻撃者も多く使用しているという。このソフトにはホームページをまるまるコピーする機能もあり、脆弱性を悪用するサイトに標的を誘導することができる。標的側はメール内のリンクをクリックすると、悪意あるサイトに飛ばされ、ドライブバイダウンロードによりマルウェアがインストールされる。
標的型攻撃による遠隔操作のデモ
標的側でマルウェアが実行されると、攻撃者の「back track 5」上に標的の端末が表示される。これで攻撃者は標的側のパソコンを自由に遠隔操作することが可能になる。山下氏は実際にスクリーンキャプチャと撮影したりファイルのダウンロードを行った。この間、標的側のパソコンに一切の変化はなく、標的側が気づくことはまずないだろうとした。続いて小澤氏が、実環境におけるマルウェア検知状況の解説を行った。これは実際にFireEyeを導入している顧客の管理画面を直接表示するというもの。
実際にFireEyeを導入している顧客の管理画面
セキュリティ対策製品のギャップを埋めるFireEye製品
監視画面では、導入先の環境にあるパソコンの状況を確認できる。感染しているのみのものは黄色、C&Cサーバとの接続が確認されているものは赤で表示され、IPアドレスから端末を特定することができる。これにより管理者は即座に対応することが可能になる。また、感染している場合にはマルウェアの名称も表示されるが、名称のないものは未知のものとなる。こういった未知のマルウェアを素早く検出できることがFireEyeのメリットであるとした。
FireEyeで実現する全方位型マルウェア対策統合ネットワーク
最後に小澤氏は、FireEyeは従来のソリューションのギャップを埋めるものであり、Webトラフィックを監視する「Web MPS」、メールを監視する「Email MPS」、そして統合管理ソリューションである「FireEye CMS」を紹介、マルウェア感染を複数のステージのいずれかで止めることが可能になるとした。