シナリオベースで深堀り! 「標的型攻撃対策ソリューション」の3大機能(3) サンドボックスとクラウドの連携

アズジェントが提供する「チェック・ポイント標的型攻撃対策パッケージ」は、標的型攻撃対策で求められる「3大機能」をセットにして提供するソリューションだ。標的型攻撃対策の攻撃シナリオを踏まえることで、本当に求められる対策を実施できることが大きな特徴である。同ソリューションの機能を攻撃シナリオに沿って詳しく紹介していく。

連載第1回では、標的型攻撃対策では「アンチウイルス」「アンチボット」「サンドボックス」が連携して動作できることが重要だと指摘した。第2回では、このうちのアンチウイルスとアンチボットの機能を整理したが、今回は、サンドボックスを使った未知の脅威の検知と、検知した情報をクラウドベースで共有する仕組みを紹介しよう。

サンドボックスで検知した脅威データをクラウドで共有

「チェック・ポイント標的型攻撃対策パッケージ」のサンドボックスは、昨年秋から提供されるようになった新機能だ。これまでに紹介したアンチウイルスやアンチボットは、このサンドボックスと連携して動作することにより、脅威防御の能力を飛躍的に向上させることが可能だ。

アズジェントマーケティング部マネージャー秋山貴彦氏

アズジェントのマーケティング部マネージャー秋山貴彦氏は、この3つがセットになって提供されることで、これまで対応できなかった脅威に対してもトータルで防御することができるようになると説明する。

「サンドボックスで検知した不正プログラムの情報をクラウド上でデータベースとして共有し、そのデータベースをもとに、アンチウイルスやアンチボットのシグネチャファイルなどをアップデートしていきます。たとえば未知の脆弱性を突く攻撃をサンドボックスが検知した場合、数時間後には新しいシグネチャファイルを作成し配信できます」

では、そもそもサンドボックスやクラウド上での情報共有は実際にどのように機能するのか。攻撃シナリオに沿って深堀りしていこう。

アプライアンスに備わる「ThreatEmulation」とクラウドベースの「ThreatCloud Emulation」

チェック・ポイント社の提供するサンドボックスには、オンプレミスのアプライアンス上で動作する「ThreatEmulation」と、クラウド上のサービスとして提供する「ThreatCloud Emulation」の2つがある。基本的に両者は同じエンジンを用いており、疑わしいプログラムをサンドボックス上で実際に実行、その振る舞いを見て、不正なブログラムかどうかを判定する。

ここでは典型的な攻撃シナリオの1つである、フィッシングメールを使った標的型攻撃を考えてみよう。

第1回でも少し触れたように、昨今の標的型攻撃メールは本物と見紛うほど巧妙に作られている。たとえば、数日前にセミナーなどに参加していた場合に「◯◯のセミナーで名刺交換させていただいた◯◯です。添付ファイルをご覧ください」などいった主旨のメールが届く。

ここで添付ファイルを開くと、不正なプログラムがインターネットから勝手にダウンロードされてきて、PCが感染してしまう。アンチウイルスが適切にアップデートされていなかったり、未知の脆弱性を突く攻撃、あるいは既知ウイルスに改良を加えたいわゆる亜種による攻撃を受けたりした場合、アンチウイルスソフトが警告を表示することもない。ユーザーは感染したことにすら気づかないのだ。

添付ファイルではなく、メールの文中にURLのリンクを記載するケースも多い。多くの場合、リンク先は改竄されたWebサイトで、そこから不正なプログラムが送られてくる仕組みになっている。この際も、未知の脆弱性や亜種が用いられた場合、アンチウイルスは機能しない。バックグラウンドで不正なプログラムがダウンロードされてもユーザーはそのことにすら気づかない。

サンドボックスは、こうした攻撃に有効な対策だ。ThreatEmulationやThreatCloud Emulationを有効にしていると、アンチウイルスなどをすりぬける不正な添付ファイルを検知し、警告(非表示設定も可)することができる。メールに添付された、あるいはネットワーク越しにダウンロードしたファイルを、Windows PCをエミュレートした仮想マシン上で展開。そこで実際に動かして、挙動をチェックする。

ThreatEmulationの動作イメージ

チェックする挙動は、不審なファイルを作成しないか、不要なプロセスを起動しないか、レジストリに不正な値を書き込んでいないか、外部と不正な通信を行っていないかなど多岐にわたる。こうした挙動を見つけ、不正なプログラムだと判定した場合、閲覧や実行をブロックし、ユーザーが不正なプログラムに感染しないようにする。

エミュレーション環境として対応しているプラットフォームは、Windows XP/7/8、Office 2003/2007/2010、Adobe Reader 9。ファイル形式としては、EXE、ZIP、Office形式、PDFに対応し、SSL通信下での検知も可能になっている。

最新脅威情報を常に配信するThreatCloud

「チェック・ポイント標的型攻撃対策パッケージ」の強みは、単に不正なファイルを検知して止めるだけではない。そこで発見した脅威の情報をすみやかにアンチウイルスやアンチボットのエンジンにも反映できる点も大きなポイントだ。

チェック・ポイント標的型攻撃対策パッケージが導入された環境においてThreatEmulationおよびThreatCloud Emulationが発見したプログラムは、基本的にアンチウイルスをすり抜けたものになる。したがって、その脅威情報はアンチウイルスがデータベースに取り込み、次回以降はそちらで止めるべきだろう。そうすることで、ThreatEmulation/ ThreatCloud Emulationでの実行プロセスを割愛し、効率的な検知を行うことができる。

これを実現するために、検知した不正プログラムの情報は「ThreatCloud」と呼ばれるグローバルな脅威データベースに集約され、それが全世界のユーザーが利用するチェック・ポイント製品にすぐさま反映される仕組みになっている。もちろんそこには、ThreatEmulationのみならず、チェック・ポイント社が収集した様々な脅威情報も共有される。

多方面から収集した不正プログラムの情報をThreatCloudに集約

また、ThreatCloudの情報はアンチボットにも反映される。新たな不正プログラムの通信パターンを解析し、アンチボットに配信する。これにより、USBで社内ネットワークに持ち込まれるなどで、アンチウイルスをすり抜けた際にもC&Cサーバへの通信を遮断できるようになる。

「チェック・ポイント社は、アンチウイルス機能やアンチボット機能を自社開発するネットワークセキュテリィベンダーです。そのため、こうした未知の脅威に対する迅速な対応ができます。企業のセキュリティ管理者は、脅威レポートとダッシュボードを活用して、ボットやウイルスの攻撃情報、ThreatEmulationで検出された新たな脅威、マルウェア動向の全体像を把握、対応することができます」(秋山氏)

サンドボックス製品のなかには、脅威を検知して終わりというものもある。この場合、未知の脅威を検出したあと、検疫や駆除を他社のウイルス対策ソフトにゆだねることになる。脅威の検出からシグネチャの更新までがスムーズに行われているとは言い難い。

対して、チェック・ポイント標的型攻撃対策パッケージは、アンチウイルス、アンチボット、サンドボックスが連携し、トータルな防御が可能になっている。これは大きな特徴と言えるだろう。

なお、ThreatEmulationとThreatCloud Emulationのいずれを利用するかは、導入する規模や形態で変えることができる。たとえば、拠点が多く、複数のアプラアンスを設置するために手間がかかるといった場合は、本部ではオンプレミスのThreatEmulation、拠点ではクラウドのThreatCloud Emulationを利用するといったことができる。

また、企業のセキュリティポリシーによっては、外部のクラウドにファイルの一切を送信したくないというケースではオンプレミス環境でのみ利用することもできる。その場合は、ネットワークのミラーポート(TAPモード)を使って、既存環境に影響を与えないような構成も可能だ。