特定の企業や組織を狙った「標的型攻撃」への対策を見つけるためのポイントをわかりやすく解説する、注目のセミナーがまもなく開催される(2013年8月29日「攻撃手法・検討項目・対策製品までを徹底解説!! 標的型攻撃対策セミナー」)。ここでは、このセミナーで登壇予定のアーバーネットワークス セールスダイレクター 金子高之氏に、その講演の内容について聞いてみた。

入口/出口対策だけで本当に安全?

アーバーネットワークス セールスダイレクター 金子高之氏

標的型攻撃の対策といえば、「入口対策」と「出口対策」というキーワードがすぐに浮かぶ。外からの侵入を防ぐ「入口対策」を行い、さらに万が一侵入された際にも情報を持ち出されないように「出口対策」を行う。非常にきちんとした計画に見えるが、本当にそれで万全といえるのだろうか。

攻撃者は侵入できる場所を常に探している。正規の入口が固くガードされていれば、当然裏口や隙間を探す。普通のやり方では情報が盗み出せないとなれば、何か別の手段を考える。そうした攻撃者の工夫に、既存のソリューションが先周りして完全に防御するのは難しい。

また入口/出口対策は、基本的に攻撃がインターネットを経由して行われるという前提に基づいて行われる。確かに情報が出て行くのはインターネット経由が圧倒的に多いが、マルウェア等の侵入口としてはUSBメモリや感染済のスマートフォンなど、別の入口も十分に考えられる。

「入口対策、出口対策には意味がない、必要がないということはありません。当然しっかりと行うべきです。しかし、それだけで安心してはいけないというのも事実です。穴を見つけた攻撃者に対しても、きちんと対応できるよう、防御策が突破された場合のことも考えておくべきではないでしょうか」と警鐘を鳴らすのが金子氏だ。

攻撃行動が始まる前にマルウェアに感染した端末を検知

有効な標的型攻撃対策を行うためには、多層的な防御が必要であるというのは多くの識者が指摘している。一般的なアンチウイルスソフトでは発見できないマルウェアが多いのも、標的型攻撃の特徴だ。必ずいくつかのソリューションを組み合わせたり、複数の仕組みを使って、攻撃からデータを守らなければならない。そこで、多層的な防御を構成する一つのツールとして、金子氏が勧めるのがアーバーネットワークスの「Pravail NSI」だ。

アーバーネットワークスでは、世界で230社を超えるサービス・プロバイダと提携して、匿名のインターネット・トラフィック・データを共有。ネット上に存在する脅威のデータベースである「ATLAS」を利用して、ASERTというリサーチチームが調査・分析を行う。アーバーネットワークスは、このデータを活用して、DDoSやマルウェアなどの攻撃を食い止めている。Pravail NSIはそのATLASの情報を活用し、すでに企業ネットワーク内に存在するかもしれないマルウェアの検知を行う。

「どういうソリューションでも100%漏れのない防御というのは不可能です。どこかに穴があって、マルウェアが入り込んでいるかもしれない。本気で攻撃への対策をしようとするならば、そこまで考える必要があります」と金子氏。実際、Pravail NSIを導入している企業の多くは、入口/出口対策も行ったうえで、万が一に備えて導入を決定しているという。

具体的な動きとしては、企業ネットワーク内になんらかの方法でマルウェアに感染した端末が入り込んだ場合、ボットネット化していることを実際に攻撃に利用される前に検知する。入口で防げなかった場合、出口対策より前の段階で止めるという方法だ。

「遠隔操作を行うときや、攻撃前に感染状態を確認するためには、遠隔操作を中継するC&Cサーバーというものと通信を行います。ATLASによって検知したC&Cサーバーのアドレスと通信があった段階で、ボットネット化した端末を発見できるため、実際に攻撃行動が始まる前に検知できるのです」と金子氏は語る。

ネットワーク内に監視カメラを設置するイメージで活用

「空港でたとえるならば、手荷物検査などを行うのが入口対策に当たるでしょう。Pravail NSIは監視カメラに該当します。空港全体を監視カメラで見張り、何か不審な動きがあれば取り押さえる。Pravail NSIはそういう働きをします」と金子氏。

Pravail NSIは導入すれば即効果が出るというものではないが、万が一に備える高い意識を持った企業にとっては必須ともいえるものだ。日々新たなマルウェアが登場し、それによる標的型攻撃におびえる企業にとっては、どれだけ対策を行っても、心から安堵できることはないだろう。今の環境で大丈夫なのか、もう一歩踏み込んだ対策が行えるのではないかと考えているならば、Pravail NSIは心強いツールとなるはずだ。

しかし、単体で利用するタイプのソリューションではないため、Pravail NSIの動きは今ひとつわかりづらい、という感想を持つ人もいるだろう。そうした方は、8月29日に開催される「攻撃手法・検討項目・対策製品までを徹底解説!! 標的型攻撃対策セミナー」に、ぜひ参加してほしい。金子氏が、マルウェアに感染した端末の検知や、脅威の可視化を実現するソリューションについて、わかりやすくていねいに解説してくれる。標的型攻撃への実践的な対抗手段を見つける、絶好の機会になるだろう。