個別化された不正プログラムの脅威
トレンドマイクロ
プロダクトマーケティング本部
ネットワークセキュリティグループ
ディレクター
大田原忠雄氏
さらに厄介なのは、標的型サイバー攻撃に使用される不正プログラムの多くが、標的組織専用に個別化されている点だ。この問題について、トレンドマイクロ プロダクトマーケティング本部の大田原忠雄氏(ネットワークセキュリティグループ ディレクター)は次のように説明する。
「標的組織に向けて個別化された不正プログラムは、多くの場合が未知の不正プログラムで、攻撃を受けた側がその存在に気づかない限り、セキュリティベンダーに解析を依頼する機会がありません。そのため、従来のパターンマッチング型の不正プログラム対策だけでは、標的型サイバー攻撃で使われる不正プログラムを100%検出するのは困難と言えるのです」
最近では、こうした「未知の不正プログラム」を検出する目的でサンドボックスが用いられるケースが増えている。不正プログラム解析用の仮想環境(サンドボックス)で不審なファイルを実行させ、その挙動によって不正プログラムか否かを判断するという手法だ。これにより、パターンマッチング型のアンチウイルスソフトが検出できないような脅威も検出・判定が可能になる。
一方の攻撃者はサンドボックスが普及し始めていることをすでに知っている。そのため、最近の不正プログラムは、"サンドボックス"をすり抜ける能力を高めており、例えば、サンドボックス上での自動実行では不審な挙動を何も示さず、実端末上での実行によって初めて不正な動きをとり始めるものもある。
「サンドボックスの技術は未知の不正プログラムを検出・判定するのにはとても有効な手段だと言えます。トレンドマイクロでは、サンドボックスを回避する不正プログラムにもすでに対応しています。ただ、サンドボックスは対策を行うための手段の一つに過ぎません。不正なコードが仕組まれた文書ファイルの検知技術や、不審な通信の検知、さらには正規通信の悪用なども見逃さずに検知する技術、それらを相関的に活用することで真に有効な対策を講じる事が可能となるのです」と、大田原氏は指摘する。
求められる内部対策
これまで、企業・組織におけるセキュリティ対策の力点は、主にクライアント端末に導入するアンチウイルスソフトの導入や、不正アクセスの侵入をブロックする「境界防衛」の強化に置かれてきた。
もちろん、これらの対策もセキュリティリスクを下げるという点で欠かせない。とはいえ、境界防衛や(パターンマッチング型の)アンチウイルスソフトだけで標的型サイバー攻撃による脅威の侵入を防ぎ切ることは難しい。仮に侵入される確率を1%にまで引き下げられたとしても、そのわずかな漏れが大量情報の流出につながりかねないのが、"気づけない脅威"標的型サイバー攻撃のおそろしさでもある。
「脅威侵入を阻止する対策だけではなく、万が一侵入された場合を想定し、侵入の事実をわずかな手がかりから察知し、迅速な初動対応につなげる仕組みを、テクノロジーと組織体制の両面で整えることが、被害を最小限にとどめるために必要な対策です」と、大田原氏は訴える。
大田原氏の言う「脅威侵入後の対策」とは、内部ネットワークにおける通信を監視し、通信のわずかな異常をも早期に検知・可視化する「侵入を前提とした対策」を指す。また、脅威を検知するのみならず、検知された脅威にすばやく対処するための運用体制を整えることも重要だ。
「監視によって不審な通信・ファイルを検知しても、それに対する対処が遅れれば意味を成しません。また、不審な通信・ファイルに関するアラートが無数に上がり、運用担当者がその対応に手間取るような仕組みでは、実質的な安全性の向上は望めないでしょう。単に脅威を検知、可視化するだけではなく、検知した後のお客様の実質的な運用までを見据え、高度な技術に支えられた製品と専門家としてのナレッジ、パートナー様との連携による運用監視や支援サービスまでをトータルでご提供することが、トレンドマイクロが考える本当の標的型サイバー攻撃対策です」(大田原氏)。
ならば具体的に、どのような対策、あるいはソリューションの導入が必要とされるのか。その1つの答えとして、トレンドマイクロが提供しているのが「Deep DiscoveryTM Inspector(以下、DDI)」だ。同製品は、標的型サイバー攻撃のリスク削減の一手として、企業・組織への導入が進んでいる。本連載第2回では、DDIが、標的型サイバー攻撃の脅威にさらされている企業・組織にどのような課題解決のすべを提供するのかについて紹介する。
またDDIは、今年(2016年)6月8日からの3日間、千葉幕張メッセで開催されるIT/ネットワークの総合イベント「Interop Tokyo 2016」に出展される。ご興味のある方は、こちらの会場にも足を運ばれてはいかがだろうか。