セキュリティの現場から from バラクーダラボ(75) 最新の脅威には最高のセキュリティ機能で対抗

この記事は、Barracuda Firewallチームのテクニカルマーケティングエンジニアであるジェイムズ・トロサ（James Tolosa）による投稿です。

ここのところ、Target、Neiman Marcus、Tescoなど大手小売業者でデータ流出が発生しています。このようなセキュリティ侵害を調べてみると、新しいインターネット攻撃が非常に巧妙であることがわかります。

Targetの例では、ハッカーは、空調機器業者であるFazio Mechanicalを経由してネットワークにアクセスしていました。いくつかの報道記事をまとめると、攻撃は次のような手順で行われたようです

ハッカーがフィッシングメールを使ってパスワード窃取ボットを起動し、Fazio Mechanicalの従業員のユーザアカウント情報を盗み出す。
取得したアカウント情報を使って、Targetの社内ネットワークにアクセスする（Targetは取引業者に対して、外部請求システムやワークフロー管理ポータル経由で自社ネットワークの一部機能へのアクセスを許可している）。
Targetの社内システムに侵入したハッカーは、POS端末からクレジットカートやデビットカード情報を盗むマルウェアをインストールし、取得した情報を収集する制御サーバを設置する。

はっきりした原因はまだ究明されていませんが、可能性として次のようなセキュリティギャップが指摘されています。

Fazio Mechanicalのユーザは、フィッシング攻撃を阻止する高度なメール保護機能を利用していない。
Fazio Mechanicalが使用していたマルウェア対策ツールは、個人ユーザ向けMalware Bytesの無料バージョンであったため、オンデマンドキャン機能しかなく、リアルタイムでのマルウェア攻撃対策は講じられていなかった。
Targetの社内ネットワークにはセグメント化とファイアウォールポリシーに不備があり、ハッカーはこれを悪用してネットワーク深部にまで侵入した。
Targetシステムへのリモートアクセスでは、多要素認証が使用されていない可能性がある。
Targetは社内ネットワークに関するドキュメントを公開しており、メタデータにも簡単にアクセスできるので、詳細を取得しやすい。

詳細については、http://krebsonsecurity.com/tag/target-data-breach/ をご覧ください。

すべてはインフラの問題

インターネットセキュリティへの意識が高まっているとはいえ、このような事件は珍しくはありません。十分なセキュリティ対策で保護されているように見えるネットワークであっても、セキュリティインフラと人間の行動との間に存在するギャップをハッカーが悪用した事例は数多く存在します。インターネットにおいてビジネスと娯楽を分ける境界線があいまいになり、モバイル端末が広く普及し、アプリケーションのクラウド化が進むにつれて、この問題はますます複雑になるでしょう。現在では、従来の保護対策を迂回し、特定の対象に標的を絞り込んだ攻撃が登場しています（最近の調査によると、フィッシングメールでは、平均3回で悪意のあるリンクや添付ファイルを開かせることに成功しているようです）。

Targetで発生したデータ流出を契機に、どの企業も直面している共通の課題が浮き彫りになりました。

標的を絞り込んで集中的に実行されるマルチベクター攻撃を想定した場合、従来のマルウェア対策テクノロジでは十分な防御策を講じられない。
ネットワークがますます複雑化している。
Targetの社内ネットワーク自体が保護されていても、運用インフラの分散環境には脆弱なネットワークが存在し、複数のポイントからの侵入が可能になった。
ネットワークおよびセキュリティの管理インターフェースをシンプルにする必要がある。バラクーダネットワークスが昨年実施した調査によると（https://www.barracuda.com/blogs/pmblog?bid=2131#.Uw4Nu3n2kjI）、自社のファイアウォールルールの内容を把握していない企業が80%を超えており、ファイアウォールルールの設定ミスが原因で発生したセキュリティギャップを経験している企業は55%を超えている。
エンタープライズアプリケーションのクラウド化と、Webで実行される商取引の増大を考えると、Webアプリケーションのセキュリティを確保する機能が求められる。

また、IT管理者は次のようなセキュリティ戦略を立てることが重要です。

プロアクティブなリアルタイム保護により、フィッシング攻撃やWebベースのマルウェアに備える。
悪意のあるURLへのアクセス要求をブロックする。
スパイウェアやデータ漏えいの兆候がみられる感染クライアントコンピュータから送信されたトラフィックを検出しブロックする。
Webアプリケーションのセキュリティ保護として、SQLインジェクション、クロスサイトスクリプティング、リクエストフォージェリ、スプーフィング、ID窃取などに対する防御策を講じる。
ネットワークゲートウェイのセキュリティ保護として、アプリケーションレイヤの可視化機能と制御機能を備える。
リモートアクセスのセキュリティ保護として、ポリシーや厳格な認証を実施する。
ネットワーク侵入への対策を講じる。
個人情報や知的財産の漏えいを阻止する。
仲介者攻撃を阻止する。
ネットワークの監視とレポート機能を使用する。

このような攻撃の標的になるのは、大規模な企業だけではありません。Fazio Mechanicalのような中小規模の企業とTargetのような大企業には同じような脆弱性が存在しているので、同等のセキュリティ対策が求められます。違いがあるとすれば、中小企業の方が、ITリソースが少なく、予算も小さいという点でしょう。

UTM以外の選択肢とインフラギャップ

企業ネットワークでは、その多くにUTM（統合脅威管理）デバイスが導入されています。これは、複数のセキュリティ機能を1つに集約して統合管理するデバイスです。「スイスアーミーナイフ」のようなUTMは万能のアプローチのように見えますが、実のところネットワークセキュリティでは威力を発揮できません。なぜなら、マルウェアのスキャンとスパムのフィルタリングを行う場合、プロキシのWebトラフィックと比べて、ネットワークパケットの転送と制御には異なるアーキテクチャとテクノロジが必要になるからです。また、UTMを使用するとパフォーマンスが大幅に低下することがあり、スループットのボトルネックを回避するためにセキュリティを犠牲にする、という結果に陥りがちです。

バラクーダネットワークスは、お客様からこのようなUTMの問題点が多数寄せられていることを踏まえて、UTMとはまったく異なる、専用に設計されたテクノロジを基盤に多彩な機能を備えたセキュリティソリューションスイートを開発しました。それぞれのソリューションは、共通のWebベースユーザインターフェース、管理およびサポートインフラ、脅威情報データを備えています。

各ソリューションは相互接続によって統合され、1つのモジュール型ネットワークセキュリティフレームワークを形成します。そしてこれは、あらゆる脅威に包括的に対処できる保護フレームワークとして、一元管理機能、優れた操作性、拡張性を発揮します。

このフレームワークの中心となるのがBarracuda Firewallです。この高性能の次世代ファイアウォールは、アプリケーションレベルでの包括的なネットワークセキュリティ機能と優れたスループットを両立します。Barracuda Firewallがあれば、パブリッククラウドでのFWaaS（サービスとしてのファイアウォール）、プライベートクラウドでの仮想アプライアンス、オンプレミスの専用ハードウェアアプライアンスなどさまざまな環境に、Webセキュリティとメールセキュリティ機能を簡単に追加できます。

また、Barracuda Web Application Firewallなどのデータセンターセキュリティ機能や、Barracuda SSL VPNなどのリモートアクセス機能をはじめ、簡単に追加できるコンポーネントが用意されているので、セキュリティフレームワークを必要に応じて拡張できます。

このように構成したソリューション全体を一元管理するのが、クラウドベースの集中管理ポータルであるBarracuda Cloud Controlです。セキュリティの保護範囲をネットワーク境界の外にまで広げ、ノートPCやモバイル端末をサポートすることも可能です。

このようなバラクーダネットワークスのアプローチは、多彩な機能、集約、優れた操作性、経済性を併せ持ったアプローチであり、お客様はニーズに最適な導入オプションを選択することができます。小規模な支社から大規模な企業ネットワークまで、あらゆる規模のネットワークに対応できる抜群の拡張性を発揮します。

バラクーダネットワークスのソリューションは、パフォーマンスの低下やセキュリティギャップを発生させずに、UTMの多彩な機能を実装したソリューションだといえます。

小規模ビジネスを脅かすサイバーセキュリティの脅威については、関連の記事をご覧ください。http://www.inc.com/will-yakowicz/why-california-attorney-general-is-erious-about-cyber-security.html?cid=sf01001

※本内容はBarracuda Product Blog 2014年3月3日Modern Threats Need Best-of-Breed Securityを翻訳したものです。