講演より--「それでもモダンマルウェアに侵入されてしまったら~既存のファイアウォールでは、もう情報は守れない?情報漏えいから企業を守る最新セキュリティ動向~」
こちらの表題で講演したのは、パロアルトネットワークス マーケティング部 部長の菅原継顕氏。特定企業を狙って開発され、既存のセキュリティ製品では検知できない特別なマルウェアの実態と、これらから企業を防護するための策などについて解説した。
パロアルトネットワークスはネットワークセキュリティを専門とする企業だ。2005年に設立され、2007年から製品出荷を開始している。アプリケーションを安全に活用可能にする「パロアルトネットワークス 次世代ファイアウォール」を主力としている。
モダンマルウェアとは、攻撃者が、標的とする企業、団体などのシステム環境だけを狙って作成されるため「アンチウイルスソフトがパターンファイルで検知することができない」(菅原氏)点が大きな特徴だ。ウイルス対策ソフトなどの網を巧みにすり抜けて、企業などの内部に侵入し、拡散、インターネットを介し、外部からリモートコントロールを可能にし、重要な情報を盗み出してしまう。
パロアルトネットワークス 菅原継顕氏(マーケティング部 部長)
これらのようなモダンマルウェアによる攻撃は巧妙、周到な段階を踏んで実行される。まず、フィッシングサイトやSNSを悪用して、標的としている人物などを騙し、マルウェアが組み込まれファイルが送信され、それを開くと感染してしまう。
菅原氏は「Facebookなどでは、勤務先を明らかにしている人も多い。攻撃者は、標的と同じ組織などに属する人物のふりをしてアカウントを作成し、友達申請すれば、簡単に『友達』になれる。SNSの悪用で、バックドアツールをダウンロードさせられてしまった事件が実際に起きている」と話す。
「従来のマルウェア対策にはさまざまな問題点が出てきている」と、菅原氏は指摘する。プロキシサーバで、ブラックリスト方式でURLをチェックしたり、アンチウイルスソフトにより、シグネチャを基準にウイルスなどを検知するといった策では限界があるという。「IPSなどを含めても、モダンマルウェアの侵入を防ぐ有効な手段はなかなか見当たらない」(菅原氏)状況だ。
それでは、モダンマルウェアを止めるには、どうすればよいのだろうか。菅原氏は3つの対策を挙げ「それらは、すべて、弊社の次世代ファイアウォールで実現できる」としている。「まず第1に、脅威が侵入してくる経路を狭めること」が要点となる。同社のトラフィック分類技術「App-ID」を用いれば、便利だが危険性の高い面もあるアプリケーションは、真に必要なユーザーにだけ限定して使用させることができるという。すべてのアプリケーション使用状況を可視化し「利便性の高いアプリケーションを単に止めるのでなく、必要な部署では、利便性を維持し、全体としての安全性も高くできる」(同)
App-IDによる、アプリケーションレベルでの通信制御(詳しくは文末のリンクから、ダウンロードしてご確認下さい)
次に「マルウェアの侵入と活動を食い止める」ことだ。これには、同社のコンテンツ管理・制御技術「Content-ID」が適用される。Content-IDはストリームベースのスキャンニングにより、認証されていないファイル転送を制限、潜在的な脅威を遮断できるという。「ただし、新種のマルウェアとなると限界があり、そちらは、「WildFire」で対応できる。「仮想実行環境でプログラムを実行し、振る舞いベースでマルウェアを検知できる技術」と、菅原氏は説明する。
Content-ID + WildFireで、マルウェアの侵入・活動を食い止める
3つ目の対策は「マルウェアに侵入された感染端末をできる限り早く発見する」ということ。ボットネット検知レポートは、未知のアプリケーションやIRCトラフィック、マルウェアサイト、新たに作成されたドメインなど、多様なデータポイントが分析され、不審な通信が目立つ端末をリストアップ、ボットネット化した疑いがある端末を洗い出すことが可能だという。
同社では、「次世代ファイアウォール」を企業のネットワーク環境に設置し、セキュリティリスクの分析とその対策を記載したリスク分析レポートサービスを無料で実施している。菅原氏は「次世代ファイアウォールに興味のある方は、ぜひとも試してほしい」と強く呼びかけ、講演を終えた。
下の資料は、最新型マルウェアの脅威と対策についてまとめたものだ。ぜひご参照頂きたい。