1%の標的型マルウェアが仕掛ける攻撃の狙いと対策Maker's Voice

米FireEyeのセキュリティ技術者、アレックス・ランスティン氏は「標的型攻撃ではどんな政府や企業も狙われ、深刻な被害をもたらす。1人を標的にしたマルウェアの脅威対策に注目している」と話す。

» 2012年12月13日 08時00分 公開
[ITmedia]
アレックス・ランスティン氏。同社以前にはMicrosoftでサイバー犯罪に関わるボットネットの壊滅作戦にも携わった経験を持つ

 米ネットワークセキュリティ企業のFireEyeでセキュリティ技術者を務めるアレックス・ランスティン氏は、「標的型サイバー攻撃ではあらゆる政府や企業が狙われる。当社は1人だけ、あるいは、1社だけに送り付けられるマルウェアの脅威から保護することに着目している」と話す。

 2004年設立のFireEyeは、標的型サイバー攻撃に特化した対策アプライアンス「FireEye Malware Protection System(MPS)」などのソリューションを展開する。

 同氏によれば、マルウェアの99%は個人情報やクレジットカード情報を盗み出すものだが、1%は企業や組織の機密情報を狙う標的型マルウェア。攻撃者の意図がケースバイケースであり、例えば、中東の国ならイスラエルの政府や企業の機密情報を狙い、ロシアのエネルギー資源に関する情報を狙う国もあるという。

 「企業の場合、例えば世界の自動車市場を席巻したいという中国メーカーが日本の自動車メーカーを狙う。日本の自動車は燃費に優れるのでエンジン周りの技術情報を入手したいと考えるだろう。同じく日本の自動車は衝突事故で搭乗者を保護することにも優れている。ライバルはどんな材料を使っているのを知ろうと、鉄鋼メーカーにもマルウェアを送り込む」(ランスティン氏)

 1%の標的型マルウェアは、ごく一部の組織や人間のマシンにだけ感染する。99%のマルウェアを防ぐための従来型のマルウェア対策では検知することが非常に難しく、同社はここで検知できないマルウェアの発見と侵入阻止に注目しているという。

 MPSではインバウンドのWebやメールの通信による挙動をアプライアンス内の仮想マシンで実行し、詳細に解析することでマルウェアを検知する。また、組織内からのアウトバウンドの通信も監視してマルウェアと外部サーバとの通信や情報漏えいを遮断する。仮想マシンはWindowsなど複数のOSやさまざまなアプリケーションに対応し、できる限り実際のクライアントに近い環境を実行して不審な通信による挙動を解析するという。メールなど大量のトラフィックなら同時に数百台規模の仮想マシンを実行して対応するとしている。

 標的型マルウェアの頻度はまちまちであり、「APT」と呼ばれるタイプの攻撃は長期にわたって継続的に行われるが、年に1、2回という場合もある。いずれの場合でも侵入を許せば、その存在に気付くのは困難だという。標的型攻撃対策では侵入の阻止も、侵入後の情報漏えいも防ぐことが求められるため、ランスティン氏は同社のソリューションだけで標的型攻撃を防げるわけではないとも語る。

 「あくまでもウイルス対策ソフトやファイアウォール、IPSなど既存の対策では補えない部分を当社が担うという立場だ。逆に言えば、自宅や喫茶店のインターネット環境で仕事をするといった、当社が監視していないネットワークでは何もできない。標的型攻撃の対策には従来型対策と当社の対策を組み合わせた多層的な防御システムをお勧めする」(ランスティン氏)

 従来型対策の多くは、ある程度の規模の脅威を防ぐことが役割であるため、1つの組織や人間だけを狙う攻撃にはどうしても限界があるとランスティン氏はみる。ただし、わずかな標的を突く脅威であっても、その侵入を許せば甚大な被害を受ける企業や組織では同社のような対策を必要とされるとのこと。同社のユーザーは、実際に標的型攻撃を受けた経験を持つ組織が大半だという。

 「企業のネットワークに到達する脅威を徹底して防ぐのがわれわれの立場だ」とランスティン氏は繰り返し強調する。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ