実行しなければわからない未知の脅威は実行すれば対策できる――チェック・ポイント・ソフトウェア・テクノロジーズ中野氏

ビジネスにおいてネットワークはすでに欠かせないインフラの1つとなっている。しかし一方で、ネットワーク上にはさまざまな脅威も存在する。サイバー犯罪者は、思いもよらない手口で組織内の情報や個人の金銭を狙ってくる。その気はなくても、社員が業務用のスマートデバイスを紛失したり、出来心で情報を漏洩したりするかもしれない。

2013年9月27日に開催されたセミナー「ネットワーク・セキュリティ・インフラの全貌」では、そうした課題に対してどうすべきか、セキュリティベンダーのエンジニアや業界著名人を講師に招き、具体的な対策方法について4つの講演が行われた。

無数に生まれる“既知の未知” ―攻撃を受けてみないとわからない

講演を行うチェック・ポイント・ソフトウェア・テクノロジーズシステム・エンジニアリング本部システムズ・エンジニア中野貴之氏

Session1では、チェック・ポイント・ソフトウェア・テクノロジーズのシステム・エンジニアリング本部にてシステムズ・エンジニアを務める中野貴之氏が、「未知に対するセキュリティ対策 Threat Emulation」と題する講演を行った。中野氏は、ネットワーク上に存在するまだ知られていない未知の脅威に対して、いかに効率よく先手を打つか、その方法について語った。

野氏は冒頭で、米国の政治家ドナルド・ラムズフェルド氏のことばを紹介した。

「世の中には私たちが知っているとわかっている『既知の既知』、知らないとわかっている『既知の未知』、そして知らないことすらわかっていない『未知の未知』が存在する。ことばあそびのようですが、ネットワークの脅威も同様です」（中野氏）。

「既知の既知」、すなわちすでに広く知れ渡っている脅威については、従来からあるアンチウイルスやアンチボット、IPS（侵入防御システム）といった製品で効果的に防ぐことができる。

問題は、「既知の未知」の脅威だ。AcrobatやMicrosoft Office、Internet Explorerといった、よく利用されているアプリケーションには、多くの脆弱性が発見されており、いまだに対策がなされていないものもある。サイバー犯罪者らは、既知の脆弱性を未知の脅威に変えて攻撃を仕掛けてくるのだ。

IPSやアンチウイルス製品の仕組みは、マルウェアが持つ特定のパターンやプロトコルから逸脱した不審な通信を検出するものである。これに対して攻撃者は、攻撃を難読化したり亜種を作成したりして、シグネチャのマッチングを回避しようと試みる。しかも現在では、マルウェアの亜種を簡単に作成するツールがインターネット上に出回っており、比較的安価に手に入れることが可能だという。また、HTMLやJavaScript、実行ファイル、PDFなどを難読化する“サービス”すら存在する。

こうした既知の未知の脅威は、攻撃の手法自体はわかっていても、検出するためには実際に攻撃を受けてみないとわからない。ようやく実態がわかって対処しても、新たな未知が登場する。これが脅威と対策の“いたちごっこ”の正体だ。

サンドボックスで実行すれば未知の脅威に対抗できる

では既知の未知への対策はどうすればよいのだろうか。「既知の未知はセキュリティベンダーによって、いずれ既知の既知になります。しかし、例えば昨今話題になっている標的型攻撃は、表に登場しないターゲット専用の攻撃手法を採るかもしれません。そうしたら、既知の既知になるのは攻撃を受けたあとのことです」（中野氏）。シグネチャでマッチングできない未知の脅威は、実際に動かしてみなければ判断できない。しかし、そのような実験を実際のシステムで行うわけにはいかない。そこで中野氏が提案するのが、“チェック・ポイントを身代わりにする”という案だ。「当社のThreat Emulation Software Bladeは、本物のシステムに成り代わって疑わしいファイルを実行し、その挙動から脅威かどうかを判別するサンドボックスシステムです」（中野氏）。

中野氏は、先日発生したシリア外務省への攻撃をあげ、Threat Emulationで不正なPDFファイルを検出できたことを紹介した。結果画面には、システムファイルを模したファイルを作成したことや、攻撃者がC＆Cサーバにアクセスしたことを検知し、マルウェアであると判断していた。

中野氏は、すでに複数のセキュリティベンダーがサンドボックスタイプの対策ソリューションを提供していることを認めたうえで、Threat Emulationが最も効果的なソリューションであることを強調した。

「マルウェアを実際に起動させるということは、システムに大きな負担がかかります。当社のThreat Emulationエンジンは、1日あたり最大10万のファイルを検査できます。また個別の企業の環境に合わせて、仮想環境のイメージファイルをカスタマイズすることも可能です」（中野氏）。

またマルウェアによっては、こうしたサンドボックスを検知して、攻撃活動を停止するタイプもあるという。Threat Emulationには、そうした巧妙な手口を検知する仕組みも設けられているとのことだ。

Threat Emulationは、導入形態の多様さという利点も持っている。クラウドサービスを利用する形式、専用アプライアンスをインライン／タップで導入する形式、MTAとして導入する形式、クラウドとローカルタイプを併用するハイブリッド形式といった具合だ。「他の製品にはなかなかない特長として、暗号化トラフィックに対応していることも当社の強みです。当社は高度なSSL検査技術を保有しており、その融合によってより安全な環境を提供することができます」（中野氏）。

最後に中野氏は、「不穏なファイル／未知の脅威と思われるファイルを受け取った時には当社へ送ってください」と、Threat Emulation（メールおよびWebサイト）の活用を紹介して講演を締めくくった。

[PR]提供：チェックポイントテクノロジーズ