FTPにはハニーポットが効かない
前々回の記事でアンチウイルス製品はEメールにかなり有効であることがわかりました。その理由の1つとしてEメールにはハニーポットが有効であることが挙げられます。ハニーポットとは「おとり」を使って攻撃やマルウェアなどを見つけ出す手法です。Eメールの場合だとインターネット上に、マルウェアを収集するためのメールサーバを設置し、マルウェア付きのEメールを受け取り、そこで見つかったマルウェアに対するシグネチャを作成します。顧客のネットワークよりもハニーポットが先にマルウェアを見つければ顧客がそのマルウェアに感染するのを防ぐことができます。
しかし、この手法はFTPにはあまり有効ではありません。Eメールの場合は、攻撃者がプッシュ型でマルウェア付きのEメールを送ってきますが、FTPの場合はFTPクライアントがFTPサーバにファイルを取りにいくプル型です。攻撃者はFTPサーバにマルウェアを仕込み、攻撃対象にドロッパーとよばれるPDFやMicrosoft Officeのファイルなどに組み込んだマルウェアをダウンロードさせる仕掛けを送り、FTPサーバからダウンロードさせます。
FTPにも有効なクライアント型ハニーポットという、FTPクライアントをネット上に設置し、FTPサーバに仕込まれたマルウェアをダウンロードするという手法もありますが、マルウェアの正確な場所の情報なしで見つけ出すことが困難なため、効果はかなり限定的です。
FTPにはハニーポットは効果的でない
FTP通信に対して取るべき対応
FTP通信をポートに関係なくすべて検査
97%のセッションが非標準ポートなので標準ポートの検知だけでは3%のマルウェアしか見つけることができません。そのポートの数も237と多いため、ポートを決め打ちではなく全ポートを検査する必要があります。
FTP通信に含まれるマルウェアを検知、防御
全ポートのFTPをシグネチャベースのアンチウイルスで検査するだけでは十分ではありません。FTPからやってくるマルウェアの95%は未知マルウェアでした。シグネチャベースだけでは95%のマルウェアを見過ごすことになります。
この2つのポイントを抑えることにより、攻撃者にとって最も成功率の高い攻撃ルートともいえるFTPからの脅威の防御を高めることができます。
- 菅原 継顕
- 米パロアルトネットワークス 日本国内で大手アンチウイルスベンダー、UTMベンダーなどでマーケティングを担当し、現在パロアルトネットワークス米国本社でシニアプロダクトマーケティングとして管理系製品、日本とアジア市場を担当。約15年、情報セキュリティに携る。
Keep up with ZDNet Japan
ZDNet JapanはFacebook、Twitter、RSS、メールマガジンでも情報を配信しています。