ファイア・アイは3月5日、米FireEye 最高技術責任者(CTO) 兼 最高戦略責任者(CSO)のAshar Aziz氏の来日に伴う発表会を開催。サイバー攻撃やセキュリティの最新動向、および対策技術について解説した。
中国、ロシアなど、国からの攻撃も
Aziz氏は冒頭、サイバー攻撃の概況を整理。年間200億ドルもの投資が行われているにもかかわらず、依然として大量の脅威が存在すると指摘したうえで、最近のサイバー攻撃では、高度なマルウェアや標的型攻撃(APT : Advanced Persistent Threat)と呼ばれる攻撃手法が使われ、金銭と知的財産の盗取が目的になっていることを明かした。
米FireEyeの創業者で、現在、同社 最高技術責任者(CTO)、最高戦略責任者(CSO)、取締役副会長を務めるAshar Aziz氏 |
こうした攻撃を展開する組織としては、中国やロシアなど、国の諜報機関であるケースが多いという。ただし、政治上、そうした国を名指しするのは避けたいため、米国政府は『APTアクター』という用語を作り、攻撃組織をこちらの言葉で呼んでいるとの裏事情も紹介された。
さらに、同氏は「攻撃側が国レベルであることから、何十億ドルという豊富な資金をもって攻撃を仕掛けてくる」ことや「マルウェアを開発している国は、50カ国以上に上る」といった実態を説明。攻撃手法に関しては、「マルチベクター」、「マルチステージ」というキーワードを挙げ、ネットワークに侵入する方法(ベクター)も、その攻撃段階(ステージ)も複数用意されていることがほとんどであるとした。
注目すべき特徴としてAziz氏が挙げたのが、各国に対する攻撃がその国内に存在するサーバから行われていること。APTアクターは、攻撃対象国内のサーバをコントロールし、そこから攻撃をしかけてくるという。実際、同社の調査によると、「180の国に攻撃用サーバが存在することが確認されている」と言い、日本に関しても「日本で行われたAPT攻撃のうち、85%は国内ステージングサーバからの攻撃だった」(Aziz氏)と明かした。
執拗かつ巧妙な攻撃を防ぐために
Aziz氏は続けて、こうした執拗かつ巧妙な攻撃が多いため、従来型のセキュリティシステムでは、どうしても侵入させてしまうケースがあると指摘。大手企業では、ファイアウォール、IPS、セキュアWebゲートウェイ、アンチスパムゲートウェイ、デスクトップ向けアンチウィルスの5階層によるセキュリティシステムを構築しているケースが一般的だが、シグネチャやリストとマッチングさせる方式がほとんどのこれらのセキュリティソリューションでは、すべてを防御するのは難しいという。
Aziz氏は、こうした問題を解消するソリューションとして、FireEye製品を紹介。「Multi-Vector Virtual Execution (MVX) エンジン」と呼ばれるサンドボックス型の実行環境ですべてのファイル/Webオブジェクトを実行して解析するため、マッチング形式で検出できなかった悪意あるコードも捉えることができるという。
MVXエンジン内は、独自ハイパーバイザの仮想環境上に、さまざまなアプリケーションを搭載したさまざまなバージョン/エディションのWindowsマシンが用意されている。それらのマシン上で、実際にアプリケーションを実行し、振る舞いを検証することで、悪意あるプログラムか否かを判定しているという。
ファイア・アイ カントリーマネージャーの原田英昭氏 |
また、FireEye製品は、悪意あるプログラムが発見された場合にシグネチャが自動生成される機構も備えている。シグネチャは、FireEye製品の最初のフィルターとして活用されるほか、同社が運営するクラウドサービス「Dynamic Threat Intelligence (DTI) クラウド」にもアップロードされ、ワールドワイドのFireEyeユーザーに配布される仕組みになっている。
さらに、同社は、「FireEye Global Industry Allianceプログラム」という名称のパートナーシップ施策も展開している。FireEye製品には、MVXエンジンで収集したマルウェアの情報を、企業ネットワーク内に設置された他ベンダーのセキュリティ製品に送信する機能も組み込まれており、それらを活用して、ネットワーク製品側でパケットを遮断したり、通信内容を重点的に監視したりといったことが可能になるという。
Aziz氏は、パートナーを大きく「境界(Perimeter)」、「監視/SIEM」、「エンドポイント」、「マネージド・セキュリティ・サービス・プロバイダー(MSSP)」の4分野に分類。A10 NetworksやBlue Coat、Juniper Networksなどのネットワーク系セキュリティソリューションを提供するベンダーや、Mandiant、McAfee、Sophosなどのエンドポイントセキュリティベンダーのほか、統合レポート機能やネットワークアグリゲーション機能などの製品を提供する企業も名を連ねている。