ネットワークセキュリティの要諦

侵入してしまった未知のマルウェアへの防御策―ネットワーク上での悪意 - (page 2)

菅原継顕(Palo Alto Networks)

2014-03-25 07:30

33%が怪しいドメインにアクセス

 データにより、約33%の未知のマルウェアが怪しいドメインにアクセスすることもわかりました(トップ13のうち5つはドメイン関連)。URLフィルタのような悪意のあるドメインやDNSを検知する製品から免れるために未登録や新しいドメインを使ったり、DNSサーバ自体を新たに設置するものもあることがわかりました。

 この挙動に対しては、未知のドメインとの通信に関して、ファイルのダウンロードをファイルタイプなどで制限または全面禁止することなどでマルウェアが侵入する可能性を下げることができます。

 また8位をみてみると「偽装拡張子のファイルをダウンロード(4.53%)」とあります。つまりファイルタイプで制限する場合、“本当のファイルタイプ”で制限しなければなりません。実行ファイル(exe)やエクセル(xlsx)などの転送を制限している組織は多くありますが、拡張子を変えた程度の偽装ですり抜けられるようだと、簡単にセキュリティを迂回されてしまいます。拡張子だけではなく本当のファイルタイプを見極められる方法でファイル転送を制御する必要があります。

 また未知のドメインとの通信をIPSで念入りにスキャンすることにより脆弱性攻撃や攻撃者との通信をブロックできます。

 4位に「HTTPのPOSTメソッドを利用(12.38%)」とありますが、これによりマルウェアが内部の情報を外部に送信しようとしていることがわかります。POSTメソッドは多くのウェブアプリケーションで利用されるための全体的なブロックは現実的ではありませんが、未知のドメインに対してのPOST制限により情報漏えいのリスクを減らせます。

2割のマルウェアはメールを送信

 20.46%のマルウェアはメールを配信します。これは情報を盗むためや攻撃者との連絡のためにメールを使用していると思われます。これに対してはセキュリティ対策が施されているメールサーバ以外への接続を制限すればリスクを軽減できます。

 標準ポート以外のHTTP通信をIPSやアンチウイルスでスキャン

 9位は「非標準ポートでHTTP接続(4.01%)」という挙動です。非標準ポートのHTTP通信はマルウェアによるものだけではなく、正常なアプリケーションでも多くみられる挙動ですが、その中にマルウェアの通信が隠されている可能性があります。HTTPのアンチウイルススキャンは一般的に行われていますが、標準ポートの80番だけではなくすべてのポートを検査する必要があることがわかります。

 最後に未知のマルウェアのネットワーク上の挙動をもとにした防御策をまとめます。

  • 未知トラフィックに対して「アンチウイルス、IPS、データフィルタで念入りにスキャン」または「ブロック」
  • 怪しいドメインへの通信に対してファイルタイプでダウンロード制限または全面禁止、IPSでスキャン、POST禁止
  • 不審なメールサーバへの接続制限
  • 拡張子偽装を想定したファイル送信の制限

 次回は未知マルウェアのコンピューター上での動作と対策を紹介します。

菅原 継顕
米パロアルトネットワークス
日本国内で大手アンチウイルスベンダー、UTMベンダーなどでマーケティングを担当し、現在パロアルトネットワークス米国本社でシニアプロダクトマーケティングとして管理系製品、日本とアジア市場を担当。約15年、情報セキュリティに携る。

Keep up with ZDNet Japan
ZDNet JapanはFacebookTwitterRSSメールマガジンでも情報を配信しています。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]