アズジェントが提供する「チェックポイント標的型攻撃対策パッケージ」は、標的型攻撃対策で求められる「必須3機能」をセットにして提供するソリューションだ。標的型攻撃対策の攻撃シナリオを踏まえることで、本当に求められる対策を実施することが大きな特徴である。同ソリューションの機能をシナリオに沿って詳しく紹介していく。

サンドボックスがあれば標的型攻撃対策は万全!?

標的型攻撃対策で注目を集めている技術にサンドボックスがある。疑わしいファイルを仮想環境で実際に実行してみて、未知のマルウェアかどうかを判断する技術だ。

だが、サンドボックスがあれば、標的型攻撃対策が済んでしまうわけではない。これまでの連載で見てきたように、標的型攻撃にトータルに対応していくためには、いくつか抑えなければならないポイントがある。

なかでも必須要件と呼べるのが、以下の3点だ。

  1. 既知の脆弱性やマルウェアを検知し、脅威を排除できること
  2. 侵入したマルウェアがC&Cサーバと不正な通信を行うことを検知し、通信をブロックできること
  3. 未知の脆弱性や新種のマルウェアを検知し、ゼロデイ攻撃に対応できること

アズジェント マーケティング部 マネージャーの秋山貴彦氏

それぞれの要件に対応する機能や技術が、(1)アンチウイルス、(2)アンチボット、(3)サンドボックスとなる。もっとも、これらはそれぞれ単独の機能として提供されるだけでは不十分だ。標的型攻撃対策ソリューション「チェックポイント標的型攻撃対策パッケージ」を提供するアズジェントでマーケティング部マネージャーを務める秋山貴彦氏は次のように解説する。

「通常の運用を支障なく進めつつ、ゼロデイ攻撃に迅速かつ適切に対応するためには、サンドボックスだけでなく、サンドボックスと連携したアンチウイルス機能が提供される必要があります。また、USBなどを経由して侵入したマルウェアに対しては、C&Cサーバとの通信を検知・防御するアンチボットが有効です。3つの機能が連携することによって真価を発揮するのです」

「標的型攻撃対策ソリューション」3つの特長

ITシステムを標的型攻撃から守るためには、従来のセキュリティ対策と標的型攻撃対策の双方が必要なことを十分に理解して取り組む必要がある。そこで、本連載では、標的型攻撃対策で必要となる3つの機能を製品レベルから深堀していきたい。それによって、「本当に行うべき」標的型攻撃対策の姿を明らかにしていくことが狙いだ。

なお、製品の具体的な機能については、連載の第2回と第3回で踏み込んでいく。今回は、その大前提として、標的型攻撃の攻撃プロセスを押さえておくことにする。

まずは攻撃プロセスをきちんと把握せよ

まずは、標的型攻撃のプロセスについておさらいしておこう。

ゼロから学ぶAPT対策講座』でも紹介したとおり、昨今の標的型攻撃では、概ね以下のような手順で攻撃をしかけてくる。

  1. 不正プログラム感染に向けた準備
  2. 不正プログラムへの感染
  3. C&Cサーバとの通信
  4. 情報盗取

最初の準備段階では、ターゲットとなる組織の体制や取引先、連絡窓口、業務内容などの情報を収集。ネット上の情報のみならず、ときには実際に電話をかけたり、オフィスに忍び込んだりして手がかりとなる情報を入手する。

必要な情報が揃ったら、それを使ってターゲットへアプローチ。関係者と偽って不正プログラムを添付したメールを送信したり、ターゲットがよく訪れるWebサイトに不正プログラムを仕掛けたり、ときには、置き忘れたふりをして不正プログラム入りUSBメモリをPCに接続させたりして、不正プログラムを端末に送り込む。

PCに入り込んだ不正プログラムは、ほどなくしてC&C(Command & Control)サーバと呼ばれる外部ホストと通信を行い、必要な部品を取り寄せて活性化する。多くの場合、この不正プログラムはバックドアと呼ばれるもので、C&Cサーバからの遠隔操作により企業ネットワーク内のサーバやキーマンのPCから情報を盗取する。

アンチウイルスの限界

では、こうした攻撃に対して従来型セキュリティ対策はどの程度有効なのか。

ご存知のように、旧来のセキュリティ対策の典型例は、クライアントPCにアンチウイルスソフトをインストールしただけのものだ。しかし、残念ながら標的型攻撃には、アンチウイルスソフトだけでは対応しきれないケースが多い。

「アンチウイルスソフトで止められる不正プログラムは、アンチウィルスベンダーが定期更新する"シグネチャ"に登録されたもののみ。アンチウィルスベンダーが把握していない不正プログラムには無効です。対して攻撃者は、未知の脆弱性をついたり、既存の不正プログラムの一部を書き換えた"亜種"を作ったりして、対象組織への侵入を試みます。当然ながら、アンチウイルスソフトにひっかからない"対策"を考えているわけです」(秋山氏)

最近では、アンチウィルスベンダーが不正プログラムに対応しても、すぐに攻撃者が亜種を出す"いたちごっこ"が続いている。こうした状況から「アンチウイルスソフトだけに頼りきるのは危険な状況」(秋山氏)という。

Webサイトに不正プログラムが仕込まれるケースも

問題になるのは、未知の脅威だけではない。すでに明らかになっている脆弱性を利用されるケースも多い。

「最近の攻撃手法として、攻撃者は、標的となる対象ユーザがよく立ち寄りそうなWebサイトを調べ、そのWebサイトの脆弱性を利用して、Webを改ざんします。標的の対象ユーザがWebサイトを閲覧しても、視覚的には正常時とまったく変わらずに表示されるため、改ざんには気付きません。しかしながら、バックグラウンドでは不正プログラムがダウンロードされているのです。このような仕掛けは、既知の脆弱性を利用して行われることが多いのです」(秋山氏)

ネットワークセキュリティ対策の不備

ネットワークのセキュリティ対策として、多くの企業が、ファイアウォールやIDS/IPSによる対策を行ってきた。これらの対策は、外部からの攻撃に対してITシステムを守るために有効だが、標的型攻撃による不正な通信を検知できないことも多い。

「標的型攻撃において不正プログラムのダウンロードに使われるのは、ほとんどの場合、通常のHTTP通信フローで行われるため、ファイアウォールやIDS/IPSで検知するのは難しいです。また、仮に不正プログラムがダウンロードされても、C&Cサーバへの通信を止めさえすれば情報盗取は防げますが、従来のセキュリティ対策では、アウトバウンド(内から外へ)の通信に対する効率的な検知機能が十分に備わっていない場合が多いと言えます」(秋山氏)

標的型攻撃対策に求められる機能とは

こうした攻撃プロセスから分かるのは、まずは、従来型のセキュリティ対策だけでは不十分であり、それに代わる新しい対策を導入しなければならないということ。そして、先に述べたように、これらの対策はそれぞれ個別に導入するだけでは不十分で、それらを連携させることが重要だということだ。

秋山氏は、具体的な機能として、アンチウイルスでは「常に最新の状態であるデータベースを利用し、不正プログラムの侵入を検知すること」、アンチボットでは「ブラックリストや振る舞い検知で保護すること」、サンドボックスでは「未知の攻撃や新種のマルウェアを検知すること」を最低限実装していることがポイントだと指摘する。

では、これらがセットで提供され、連携して動作することで、攻撃に対してどう対抗できるようになるのか。秋山氏のアドバイスのもと、次回からは具体的なシナリオに沿って深堀していこう。2回目はアンチウイルスとアンチボットついて、3回目はサンドボックスについて見ていく予定だ。