メールに添付されたファイルをよく調べずにダブルクリックしてしまうことで、背後でプログラムが動き出し、知らず知らずのうちに情報漏洩攻撃にさらされてしまう。
特定の業種や業界、企業に対してキャンペーンという形で考え抜かれた件名やファイル名で、ダブルクリックを誘う。検知をくぐり抜ける亜種を使いながら特定の企業を狙う。企業内部において、メールに添付されたファイルをダブルクリックする際には、たとえ知人のメールであっても慎重に行うことが求められる。APT(Advanced Persistent Threat)とも呼ばれる持続的な標的型攻撃では、感染後も潜伏し続け、執拗な情報詐取を試みる。企業セキュリティにとっては、この上なく危険な部類に類型される攻撃だ。
この"高度"で"執拗な"脅威に対して、伝統的なアンチウイルスでは、不十分なことはみなさん承知だろう。では、エンドポイントセキュリティがこれらに対応するためには何が必要だろうか?と英国セキュリティベンダーのSophosは、あらためてエンドポイントにおけるセキュリティ対策の重要性を公式ブログで確認している。
APTでは、感染からC&C(Command&Control)サーバとの通信による遠隔操作までの間に複数の段階がある。APTにおける対策として、統合的に各ステップをチェックする必要がある。APTに対抗する次世代エンドポイントセキュリティでは、「予防」(Prevention)、「探知」(Detection)、「反応」(Response)の3つのレイヤーでチェックする必要があることを公式ブログで示している。
Prevention -マルウェアの感染を防ぐ
・Webページからの感染を防御するシステムがあるか?
・USBメモリなどデバイスコントロールを確立しているか?
・ファイル分析やHIPSなどによる動作の精査、また安全な環境でのファイル実行を可能とするエミュレーター環境を持っているか
・そのファイルがどこから来たのか、何者なのか?を知るレピュテーションを持っているか?
Detection - マルウェアの行動を探知する
・攻撃の指示を行うコミュニケーション"Phoning home"などマルウェアのトラフィックを探知すること
・マルウェア特有の行動を示すファイルがないかのメモリースキャン
・ほかのプロセスを収集するような行動がないかを精査するエクスプロイトディテクション
Response - マルウェアの除去と分析
・マルウェアに関連するコンポーネントの除去
・マルウェアの感染源を突き止めて、何か感染したかを特定すること
同社では、英文のホワイトペーパーをWebサイト公開しており、このAPTの脅威とエンドポイントセキュリティで成すべきことを紹介している。
