今年のセキュリティ分野で最も大きなトピックと言えば「標的型攻撃」だろう。世界中で、大規模な企業や組織がその被害にあい、話題を呼んだ。とどまることを知らない標的型攻撃をブロックするにはどのような策が有効なのか? 今回、今年11月に標的型攻撃対策サービスを発表したパロアルトネットワークス 技術本部長 乙部幸一朗氏に話を聞いた。

パロアルトネットワークス 技術本部長 乙部幸一朗氏

2つの特徴を持つモダンマルウェア

初めに乙部氏は、「当社の創業者であるニア・ズークの言葉を借りるなら、従来のセキュリティ攻撃はまるでセントラルパークで象が暴れているようにわかりやすいものだったのに対し、標的型攻撃は芝生に落ちている針のように見えづらいものです。つまり、標的型攻撃はどこが攻撃されているのかわからないのです」と、標的型攻撃の特徴について語った。

同社では、標的型だったり、従来のマルウェアに比べて回避能力やネットワークでの拡散能力が高かったりするマルウェアを「モダンマルウェア」と定義している。同氏は、モダンマルウェアの特徴について、以下のように説明する。

「モダンマルウェアには大きく2つの特徴があります。1つは従来のアンチウイルスソフトでは防げないことです。アンチウイルスソフトはハニーポットを使って検体を集めて、マルウェアを見つけてシグネチャを作成することで、マルウェアをブロックします。ある調査によると、1日に10万以上の検体が生まれると言われており、これらすべてのシグネチャを短期間で作成することはほぼ不可能です。また、特定の企業や個人を狙う標的型のマルウェアは検体を入手できないので、シグネチャを作ることができません。もう1つの特徴はネットワークを活用することです。例えば、ネットワークを介してマルウェアの本体をダウンロードさせることも行うドロッパーなどは見つけることが難しいです」

5つのステップを踏む標的型攻撃

乙部氏は、標的型攻撃を理解するには「攻撃の5つのステップを知っておく必要がある」と語った。5つのステップとは、「フィッシングサイトやSNSなどを用いてユーザーを騙す」「不正コードの実行」「バックドアツールのダウンロード」「情報搾取用バックチャンネルの確率」「情報の搾取」だ。

5つのステップのうち、最近特に注意したいのがステップ1だ。具体的には、SNSで企業名から実名で登録しているユーザーを検索し、その人に対し、その企業に実在する人を装って「友達申請」を行い、友達になれたら、その人の個人ページからさまざまな情報が入手できてしまうというわけだ。偽アカウントが疑われないために、インターネットで探した写真を使ってまで登録するケースもあるという。ここまでされたら、まさかその人が偽物とは思わないだろう。

攻撃者はSNSで情報を盗んだうえ、SNSのメッセージングツールやメールを介して、不正コードが埋め込まれたサイトに誘導する。これもスパムメールに埋め込まれていたリンクだったら安易にクリックしない人も、「友達」からのメールやメッセージの中のリンクであれば疑わずにクリックしてしまうだろう。

不正コードが埋め込まれたサイトに誘導されたユーザーの端末は、脆弱性などを突いてバックドア通信用のマルウェアがインストールされてしまう。感染した端末はユーザーに気づかれないように静かに動作し、インターネット上にあるC&Cサーバという指令を出すサーバに通信を行い、その指令を受けて行動する。

同氏は「C&Cサーバへの通信は、TCPのポート80を使いながらも独自の暗号をかけるので、シグネチャなどでは見つけづらい状況です」と説明する。

こうして4つのステップを経て、最終ターゲットである情報が搾取される。これら5つのステップは長期にわたることが多い点も検出が難しい理由だという。

なお、国内でも実名で登録するSNSが流行の兆しを見せているが、同氏はSNSを利用するうえでのセキュリティリスクの高さについて警告を鳴らす。

標的型攻撃に有効な3つの対策

乙部氏は、標的型攻撃に有効な対策として、「脅威の侵入経路を狭める」「マルウェアの侵入を食い止める」「侵入された感染端末をできる限り早く発見する」の3つを挙げた。セキュリティベンダーである同社はもちろん、それぞれの対策について有効なソリューションを用意している。

「脅威の侵入経路を狭める」は、次世代ファイアウォールのPAシリーズが搭載するApp-IDによってアプリケーションレベルでの通信制御で対応する。App-IDとは、ポート、プロトコル、暗号化などにかかわらず、あらゆるアプリケーションを識別できる技術だ。App-IDを用いることで、リスクの高いアプリケーションは利用するユーザーを限定することができる。

「標的型攻撃で用いられるサイトのURLはダイナミックに変わるので、URLフィルタリングだけでは識別できません。また、通信を暗号化し80番や443番以外の非標準ポートを使うSkypeはファイアウォールでもプロキシでも検知できません」と、同氏は既存の製品がモダンマルウェアや最新のWebアプリケーションに対し無力だと指摘する。

「マルウェアの侵入を食い止める」は、Content-IDとWildFireによるマルウェアの防御で対応する。Content-IDもPAシリーズが提供する技術で、ストリームベースの高速スキャニングによりアプリケーションに埋もれた脅威を検知する。

一方、WildFireは今年11月に発表されたばかりの標的型攻撃対策サービスだ。同サービスでは、PAシリーズを通過したファイルを収集し、それらのうち挙動が不審なものをクラウド環境上の仮想サンドボックス環境で実行することによって振る舞いベースでマルウェアを検知し、そのマルウェアに対するシグネチャを自動的に生成して配信する。

WildFireのアーキテクチャ

「PAシリーズとWildFireがあれば、特定の企業にしか潜んでいないマルウェアを検知することができます」と、同氏は語る。

対策3の「侵入された感染端末をできる限り早く発見する」については、ボットネットの検知レポートで感染端末を洗い出すことで対処できる。PAシリーズでは、振る舞いベースでバックドアを検出し、毎日レポートを生成する。

標的型攻撃が急増しているのに伴い、さまざまなベンダーが「標的型攻撃対策」と称して製品の提供を行っているが、同氏は「まずは標的型攻撃を正しく理解してから行動しないと、ベンダーに踊らされてしまう」とアドバイスする。

これまで、企業や組織のIT管理者がセキュリティ製品を求める際、「○○が止めたいからこれが欲しい」といったアプローチをとることが多かったが、同氏は「認識しているアプリケーションを止めるだけでよいのか」と疑問を投げかける。

先述したように、静かに潜行して攻撃が行われる標的型攻撃では、マルウェアが侵入していることさえ気づかれていないのだ。つまり、IT管理者の意識にかかわらず、まずは自社のネットワーク、アプリケーションの利用状況を明らかにすることが大切だというわけだ。

標的型攻撃の対策として何から手を打ってよいかわからない場合、自社の状況を把握することから始めてはいかがだろう。