標的型攻撃は従来型対策だけでは守り切れない--FFRI 川原氏

ZDNET Japan Ad Special

2013-10-04 11:00

[PR]ZDNetセミナーより。FFRIの川原氏は「進化する標的型攻撃の実態」と題し、従来の技術では対処が困難になってきた標的型攻撃の傾向と、その対策を解説。FFR yaraiによる、マルウェア検知・防御のデモンストレーションも披露した。

FFRIが講演--「進化する標的型攻撃の実態」

 朝日インタラクティブ主催のセミナー「ZDNet Japan セキュリティセミナー 2013秋」において、FFRIマーケティング部長の川原一郎氏は「進化する標的型攻撃の実態」と題し、従来の技術では対処が困難になってきた標的型攻撃の傾向と、その対策を語った。


FFRIマーケティング部長 川原一郎氏

 川原氏は「標的型攻撃は、単純なウイルス攻撃ではなく、経済的利益あるいは安全保障に影響を与えるなどの意図を持って、特定の標的を狙ったハッキング行為」と指摘、「標的型攻撃に対抗するためには、標的型攻撃に特化した戦略を進める必要がある」と話す。

 標的型攻撃は近年、急速に増加しており、その被害はいっそう大きくなっている。川原氏は、2013年3月に発生した、韓国での例を紹介した。韓国の3つの放送局と3つの金融機関で、同時多発的なシステム障害が発生。ある放送局においては放送業務に支障を来し、自社Webサイトのアクセスを遮断した。また、ある金融機関では営業店舗の窓口業務が麻痺、インターネットバンキングやCD/ATMに障害が出るなどの事態となった、これら6つの組織において被害端末総数は約4万8700台に上ったという。

 今回の韓国の事例では、標的型メール、Drive-by-Download攻撃などによりマルウェアに感染させる手口であり、C&Cサーバを使って、追加のマルウェアをダウンロード、内部の管理サーバを攻略、資産管理サーバからクライアント端末に対してマルウェアを配信、実行したとされる。FFRIでは、韓国のサイバー攻撃で使われたマルウェアの検体の一つを入手し、同社の技術者は、詳細な解析を実施、また、同社の標的型攻撃対策ソフトウェア「FFR yarai」による検証も実施した。その結果、Sandboxエンジン(仮想CPUによる異常挙動検知)が、マルウェアを検出し、システムを保護できることを確認した。川原氏は「システム破壊型の脅威に対しては、エンドポイントでの防御策が必要で、出口対策だけでは不十分」と語った。

 エンドポイント対策のための製品として、川原氏は「FFR yarai」を紹介。「パターンファイルに依存せず、マルウェアや脆弱性攻撃を防御し、既知だけでなく、未知の脅威から情報資産を守る」(川原氏)ことが製品の基本概念だという。

  「FFR yarai」は、ヒューリスティック検知型を採っており、4つのエンジンにより、マルウェアや脆弱性攻撃に対抗する。「ZDPエンジン」は、メールやWebページ閲覧時の攻撃など、既知・未知の脆弱性を狙った攻撃に対処、任意コード実行型脆弱性の攻撃を防御する。「Static分析エンジン」は、プログラムを動作させることなく分析ができる。「Sandboxエンジン」は、仮想CPU、仮想メモリ、仮想Windowsサブシステムなどで構成される仮想環境上でプログラムを実行し命令の組み合わせに基づいて検知する。「HIPSエンジン」は、実行中プログラムの動作を監視。他プログラムへの侵入、異常なネットワークアクセス、キーロガーやバックドア的な動作などの挙動を検知する。

キャプション
※クリックすると拡大画像が見られます

 現在、日本企業では「3~4割の会社で、Windows XP搭載の端末が残っている」(川原氏)状況だが、延長サポートは、2014年4月で終了する。それ以後は、新しい脆弱性に対し、セキュリティパッチが提供されなくなり、安全性が損なわれかねない。新OSへの移行を大前提としつつ、何らかの理由によりやむを得ず延長サポート終了までに新OSへ移行できないユーザーを支援するために、同社の「FFR yarai」は、動作環境としてWindows XP SP2以上/Windows Server 2003 SP2以上を、2017年12月31日までサポートする。

 会場では、実際にWindowsXP環境をマルウェアから防御するデモンストレーションも披露した。

※クリックすると拡大画像が見られます

キャプション 韓国サイバー攻撃で使用された検体に、モニタリング環境内で破壊活動を行わせてみる。
キャプション システムの重要ファイルを次々と改ざんしたうえ、システムを再起動させる。
キャプション 起動ディスクのMBR(マスターブートレコード)が消去されており、ディスクからは起動できなくなっている
キャプション こちらは、FFR yaraiのSandboxエンジンが検体を検出し、システムを保護した場面

 また同社は、ネットワークゲートウェイで、Web経由で感染するマルウェアを検知し、可視化や防御を実現するシステム「FFR tabaru」も擁している。さらに、マルウェア解析システム「FFR yarai analyzer」は、エンドポイントやゲートウェイで捕獲された検体の初動解析に活用できる。

 川原氏は「標的型攻撃は従来型セキュリティ対策だけでは守り切れない」ことを強調、特定の企業、組織・団体を狙い、個別に作成される標的型攻撃マルウェアの場合、攻撃された事実が表面化し難く、アンチウイルスベンダーの対応も遅れがちであり、対策としては、従来のパターンファイルに依存せず、振る舞いで検知することが有効」として講演を終えた。


FFRI 川原氏の講演資料は、こちらからダウンロードできます

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル
  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策
  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性
  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

投票する

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]