編集部からのお知らせ
新着記事まとめPDF「データサイエンティスト」
ZDNet Summit 2021開催のご案内

「侵入しやすい」「簡単に盗める」--ファイア・アイから見える日本企業の危うさ - (page 2)

田中好伸 (編集部) 吉澤亨史

2013-11-26 08:00

 同時に、サイバー攻撃について注意しなければならないことは、ツールが作成された国と攻撃者の属する国は異なるということです。現在、標的型攻撃の89%が中国に関連しているというデータがありますが、必ずしも中国人が攻撃しているというわけではありません。

 例えば、中国人の犯罪者が日本政府を狙って攻撃し、侵入に成功したとします。すると攻撃者は、その手法をパッケージにしてブラックマーケットで販売します。こういったパッケージを購入して標的型攻撃を行うケースも多いのですが、それが中国人とは限らないわけです。

――日本企業も当然防御策を講じている。ただ、その投資がどれくらいが妥当なのか見極めることができない。

 企業に必要な標的型対策は、まずは“可視化”です。自分の組織で何が起きているのかを、まず理解することです。可視化することで攻撃者が実際に知的財産を盗もうとしているのか、あるいは監視しているだけなのかが把握できます。その上で具体的な対策をしていくべきです。ただし、シグネチャベースの製品では標的型攻撃に対する可視化ができないので補完が必要です。それがFireEyeのテクノロジです。

 セキュリティ投資に適切な金額についても同様です。Gartnerの発表では、セキュリティへの投資額はIT予算の5~7%としています。その金額を念頭に置いて、まずは自分の組織で最も重要な、守りたい資産を特定します。

 具体的には、知的財産や顧客情報、ブランドといったものになるでしょう。それを守るために投資します。それで予算が余れば、他の対策をすればいいのです。こういった部分でもFireEyeがお手伝いできると思います。

FireEyeはサンドボックスではなく仮想マシン

――他社からもサンドボックス製品が出てきている。FireEyeでは、どのように考えているのか。

 FireEyeのテクノロジは、サンドボックスではありません、仮想マシンです。そのアーキテクチャはサンドボックスよりも優れたものです。多くのエンドユーザーは、初めて行くサイトの数は少なく、ましてそこから何かをダウンロードする機会というのは、まずないでしょう。しかし、ウェブサイトの閲覧は常にしています。FireEyeと他社製品の違いはここにあります。

 サンドボックスは、社内ネットワーク上でファイルを抽出し、怪しいと思われるファイルをサンドボックスに送って実行させます。しかしFireEyeの場合は、例えばエンドユーザーがYahoo!のサイトにアクセスしたとき、128のフローがあります。FireEyeは、そのすべてのフローについて仮想マシンで分析します。ダウンロードするファイルだけを見るサンドボックスとは根本的に異なるのです。


 FireEyeが発見したサイバー攻撃“Operation DeputyDog(DeputyDog作戦)”は、他社製品では検出できませんでした。その理由はいくつかあります。DeputyDogの最初の段階は、サイトにアクセスした際に「Internet Explorer」の脆弱性を悪用します。その際に悪用するのはhtmlやJava、Flashであり、exeファイルやdllファイルではなく、もちろんPDFファイルもありません。ファイルを見るサンドボックスでは検出できないのです。

 次の段階では、エンドユーザーの環境にエクスプロイトがダウンロードされて感染し、キーをダウンロードします。そして、そのキーを使ってC&Cサーバにコールバックします。第三の段階では、暗号化されたJPEGファイルがダウンロードされます。

 サンドボックスの場合、ここで初めてファイルを見ようとしますが、暗号化されているので分析できません。エクスプロイトを検出できないということは、キーも堅守できないのです。FireEyeであれば、ウェブページ全体をチェックするので、エクスプロイトもキーも検出できます。

 (2010年1月に発覚した)“Operation Aurora(オーロラ作戦)”やDeputyDog作戦などの攻撃をFireEyeだけが検出できたのは、このテクノロジの違いなのです。多くのユーザー企業は、ファイアウォール、IPS/IDS、ウイルス対策といったセキュリティ対策製品を導入しています。それなのに、不正侵入が起きているということは、問題に取り組んでいないともいえます。FireEyeは優れたテクノロジで、そこを変えていきたいと考えています。

Keep up with ZDNet Japan
ZDNet JapanはFacebookページTwitterRSSNewsletter(メールマガジン)でも情報を配信しています。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]