マルウェア急増で、アンチウイルスソフトが苦戦-
「いま求められるサイバーセキュリティ~マルウェアの傾向と対策~」と題し講演したパロアルトネットワークス技術本部技術本部長の乙部幸一朗氏は、標的型攻撃で利用されるマルウェアの傾向と対策や、スマートデバイス向けのモバイルセキュリティなど、次世代ファイアウォールによる最新のセキュリティソリューションを解説した。
パロアルトネットワークス
技術本部技術本部長
乙部幸一朗氏
乙部氏は、同社がワールドワイドで運用しているクラウド型サンドボックス環境の統計データを紹介した。
利用している企業が1700社に上るこの環境では、先月スキャンされたファイル数が50万5,439、新たに発見されたマルウェアは2万9,719。
それらのうち、発見当初、主要なアンチウィルス製品で検知できなかったマルウェア1万4,751にのぼり、ほぼ50%だったという。ここからうかがえるのは、「最新」のマルウェアが急増し、アンチウイルスソフトが苦戦している状況だ。「マルウェア侵入の95%は、最初の24時間で発生しており、最初に見つけた時点で止めないと危険」(乙部氏)だという。
※クリックすると拡大画像が見られます
講演資料より。第一発見から最初の24時間がポイントだという。
※クリックすると拡大画像が見られます
マルウェアを媒介するものとしては、まずメールを思い浮かべる向きが多いが、「マルウェアの侵入経路のおよそ7割は、Webブラウジングが主流」(乙部氏)というのが実態という。 また、産業システムの制御、管理に用いられる、SCADA(Supervisory Control And Data Acquisition:産業制御システム)に対しての攻撃も増加傾向にあるという。これらは従来、物理的に隔離されていたが、企業イントラネットに接続されるようになったことなどが背景にある。
乙部氏は、標的型攻撃への有効な対策として、「脅威の侵入経路を狭める」。「マルウェアの侵入を防ぐ」。「侵入されたも感染端末を無効化/早期検知」の3点を提示した。
「WildFireTM」をはじめとする同社の対マルウェア技術は、これらの対策を講じるに当たり有用であるという。乙部氏によれば、WildFireTMは、Web、メール以外に、FTPやファイル共有などにも対応しているとともに、SSL通信も複合して検査することができるほか、P2Pや独自暗号通信は、同社のトラフィック分類技術、App-IDでポリシー制御が可能だという。「App-ID」は、危険性の高い面もあるアプリケーションは、真に必要なユーザーにだけ限定して使用させることができるという。すべてのアプリケーション使用状況を可視化するなど、脅威の侵入経路を狭めるのに役立つという。
「マルウェアの侵入を防ぐ」には、コンテンツ管理・制御技術「Content-ID」が用いられる。ストリームベースのスキャンニングにより、アプリケーションに埋もれた脅威を検知、単一のエンジンで、脆弱性攻撃、マルウェア、バックドア通信をブロックする。未知のマルチウェアには、「WildFireTM」が仮想実行環境でプログロムを実行、振る舞いベースで検出する。
「侵入された感染端末を無効化/早期検知」では、WildFireTMなどが配信するシグネチャにより、C&C通信を検知してブロックする。ボットネット検知レポートは、未知のバックドア通信を、振る舞いベースで検出、レポートし、不明なプロトコルやIRCなどの通信が多い端末をリストアップ、攻撃側に制御された疑いがある端末を見つけ出す。
マルウェアの侵入を防ぐためのアプローチ(講演資料より)
※クリックすると拡大画像が見られます
近年、スマートデバイスの台頭が著しい。この領域も当然、攻撃対象として注意しなければならない。ここには、モバイル向けソリューション「GlobalProtect」が用意されている。「GlobalProtect」は、同社の次世代ファイアウォール、PAシリーズ」と連携して、端末を監視する。エージェントにより、デバイスが社内ネットワーク上にあるか外部にあるかを自動判別、外部であれば、VPN接続で、強制的に、PAシリーズ経由で通信するよう経路を変更させる。AndroidとiOS端末にも対応している。
乙部氏は「次世代型ファイアウォールは、アプリケーション、ユーザー、コンテンツを制御できる点を評価されている。標的型攻撃で使用されるマルウェアは、さまざまな仕掛けをしてくるので、既存のウィルス対策製品では対応できないものが多くなっている、統合的かつ多層的な対策が必要になる。侵入されることを前提として、出口対策を講じることも考えるべき」とした。
下の資料は、「最新の標的型攻撃の脅威と対策」についてまとめたものだ。ぜひご参照頂きたい。
