ゼロから学ぶAPT対策講座(4) APT攻撃に備えるために必須の「3つの対策」とは

本連載ではこれまで、APT攻撃の実態や手口、さらに企業が留意すべき対策について解説してきた。では実際にAPT攻撃から機密情報を守る有効なソリューションは存在するのだろうか。本稿では、機密情報の漏えいを回避するための"3つの対策"について解説しよう。

従来型のセキュリティ対策を見直す

セキュリティ対策の啓蒙活動に取り組むアズジェントセキュリティ・プラス統括本部マーケティング部マネージャー秋山貴彦氏は、「不正プログラムの侵入を検知する」「C&C(Command and Control)サーバーへの通信をブロックする」「未知の不正プログラムを検知する」がAPT攻撃に備えるための"3つの対策"であると指摘している。

アズジェントセキュリティ・プラス統括本部マーケティング部マネージャー秋山貴彦氏

なかでも、企業が最初に取り組むべき必須の対策は「不正プログラムの侵入を検知すること」となる。不正プログラム＝ウイルスをはじめとするマルウェアを侵入させるという行為は、システムの混乱や破壊といった嫌がらせを目的とするものが多いが、APT攻撃で使われるマルウェアも、これらと何ら変わらない。

「多くの企業や組織では、外部ネットワークと内部ネットワークの境界にファイアウォールやIPS(Intrusion Prevention System: 侵入検知システム)を設置しています。また、クライアントPCやメールサーバーにはウイルス対策ソフトが導入されていることが多いでしょう。そして、情報システム部門による管理の下、管理対象となるクライアントPCに対してソフトウェアの脆弱性を回避する修正パッチを適用するなどし、外部からの攻撃を防いできました」(秋山氏)

このような"入口対策"と呼ばれる従来型のセキュリティ対策は、当然ながら引き続き有効である。ただし、ターゲットを執拗に狙うAPT攻撃の場合、ターゲットとする企業や組織が構築しているシステム環境に脆弱性がないかを徹底的に調べ上げ、その脆弱性をついて巧妙な手口で不正プログラムを侵入させようとする。したがって、APT攻撃に対しては、従来の対策で防御できない要素へのセキュリティ対策を講じることが肝要となる。

標的型攻撃とセキュリティ対策

不正プログラムの侵入を検知する

悪意の第三者から遠隔操作可能な不正プログラムはボットと呼ばれ、標的型攻撃の手段としてこのボットが利用される。

「ボット」は、攻撃者が制御下に置いた「C&Cサーバー」と呼ばれるコンピュータから情報を窃取するための指令を受け取る。C&Cサーバーから指令を受け取ったボットは、その指示にしたがった情報を取集し、外部にそのデータを送信することになる。また、攻撃者が利用するこのC&Cサーバーも生存時間が短く、日々、移り変わっている。

本来は、侵入した不正プログラムが既知のプログラムとしてアンチウイルスのデータベースに登録されていれば侵入は防御できているはずだ。しかし、APT攻撃で使用されるボットの多くはゼロディ攻撃と呼ばれる未知の脆弱性をついた攻撃や亜種型のマルウェアのため、従来型のアンチウイルスデータベースだけは対応しきれない。

C&Cサーバーとの通信をブロックする「アンチボット」

そこで、2つ目の対策である「C&Cサーバーへの通信をブロックする」という機能が必要になってくる。これが「アンチボット」と呼ばれる機能だ。

アンチボットは、C&Cサーバーとして活動する不正サイトの情報をブラックリストとしてデータベースに保管している。そのため、ボットに感染したPCからC&Cサーバーへの通信を止めることができる。つまり、C&Cサーバーからの攻撃指令をシャットアウトすることが可能なのだ。また、数多くのボットの検体からボットの通信特性を調査し、その通信パターンからボットと疑われる通信を検知する。

ただし、アンチウイルス、アンチボットの存在があっても未知の脆弱性をついた攻撃で使用される不正プログラの侵入を防ぐことは出来ない。そこで必要なのが、3つ目の対策である「未知の不正プログラムを検知する」ことだ。それを実現するのが、サンドボックス機能である。

未知のボット検知に必須の「サンドボックス」

サンドボックスは、プログラムがシステムの他の部分に悪影響を及ばさないように設計された実行環境を指す。未知の不正プログラムと思しきものが内部ネットワークに送信されてきた場合、サンドボックスでいったん動かしてみて挙動を確認する。雨後の筍のように亜種が登場し、場合によって標的となる企業・組織を専門に狙ってくる未知の不正プログラムを検知するには必須の機能なのだ。

アズジェントが提供する「チェック・ポイント標的型攻撃対策パッケージ」は、ここまで紹介してきた3つの対策方法である「アンチウイルス」「アンチボット」「サンドボックス」が含まれたアプライアンスだ。

次回以降は、本稿で紹介したアンチボットとサンドボックスの機能について、さらに詳しく掘り下げていく。