相関関係の可視化で強化する企業セキュリティ
企業システムで発生する脅威が複雑化し、対策を強化するには事象の相関関係を知ることが重要だという。トレンドマイクロがユーザーの被害事例を基に紹介した。
トレンドマイクロは11月30日、ユーザー企業で発生したセキュリティ事件を例に挙げ、対策を強化するポイントをメディア向けに紹介した。ネットワーク監視による事件の相関関係の把握が重要だと呼び掛けた。
同社によると、マルウェアを中心とした不正プログラムが2.5秒に1種類の割合で発生し、大半の不正プログラムがインターネット経由で配信されている。2009年6月末時点ではインターネット経由の不正プログラムが2005年に比べて29倍も増えたという。
ユーザー企業でのセキュリティ事件に対応しているスレッドモニタリングセンターの小松優介氏は、最近の特徴に説明。USBメモリなどを介して感染するマルウェア「MAL_AUTORUN」や、2008年後半から感染報告が絶えないワーム「Downad/Conficker」を例に、企業での感染被害が長期化する事件が目立つとしている。
例えば従業員数千人規模という大手の通信企業では、2008年12月にDownad/Confickerの被害が発生し、ウイルス対策ソフトでいくら駆除しても、感染警告が絶えない状態になったという。Downad/ConfickerはWindows OSの脆弱性(MS08-067)を悪用して感染を広げるもので、当初はLAN上にある脆弱性を抱えたままのコンピュータを標的していた。だが、いくつもの亜種が作られたことで、USBメモリなどを経由して感染を広げたり、外部のサーバと通信して異なる不正プログラムをダウンロードしたりする機能を身に付けていった。
同社では以前からウイルス対策ソフトを利用していたが、Downad/Confickerを根絶できない状態になり、トレンドマイクロが詳細調査を実施した。具体的には同社のネットワーク監視装置で企業内の通信状況を監視し、Downad/Confickerの影響とみられる個々の通信(不審なパケットや攻撃の実施命令など)を解析することで被害の全容把握を進めたという。
その結果、MS08-067の脆弱性を修正するパッチを適用していないコンピュータを中心に感染行動が継続していることが分かり、発生源を特定して対策することで事態の収拾を進めたという。企業によってはパッチ適用がシステムに影響することを懸念して、事前に検証する場合が多い。また、台数の多い環境では管理ミスから適用されない場合もある。同社ではパッチ適用の重要性を認識し、優先的に実施していく運用体制に改めた。
調査で判明したDownad/Confickerの拡散状況小松氏は、従来のウイルス対策ソフトでは個々のコンピュータを保護することが念頭におかれ、事例のように被害の全容を把握するのは難しいと指摘する。また、新種の不正プログラムの発生が激増している現状では、個別の不正プログラムを解析するのに時間がかかってしまい、対応が遅れがちになる。不正プログラムの可能性が疑われる時点で動作をブロックできる仕組みが重要という。
このほかにも、海外拠点にあるコンピュータが外部の攻撃者によって不正に遠隔操作できる状態になっていたケースや、有害サイトへの接続を遮断する対策を講じていたものの、不正プログラムに感染するケースがあった。
前者の場合は国内の管理者が現地調査するのが難しく、トレンドマイクロが監視装置を設置して該当するコンピュータを洗い出した。後者の場合もアクセスが許可されているジャンルのWebサイト(このケースはビジネス情報)が改ざんされ、別サイトに誘導させてマルウェアに感染する仕組みになっていたことが分かった。
1000台のPC環境の場合、定義ファイルで検出できる既知の不正プログラムは平均7.699件、定義ファイルで検出しない未知の脅威は47.472件と、6倍以上の差があるという小松氏は、これらの事例から導入済みのセキュリティ対策の有効性や運用方法、投資対効果などを再検証すべきとアドバイスする。「既にあるセキュリティ対策に十分投資したと考えても被害がなくならないと悩む管理者や経営者は多い。見直すことで既存の対策を機能させる、より良く活用していく、新たな対策を講じるといった方法論がみえてくるはず」(同氏)
同社ではネットワーク監視サービス「Threat Management Solution」を提供しており、監視や分析、また、検知した脅威に自動的に対処するという。小松氏は、監視や分析の機能などが現状把握に役立つとして、同サービスの利用も勧めている。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
トレンドマイクロ、企業内に潜む脅威の検出と対策を実施する新サービス
トレンドマイクロは、パターンファイルで対処する既存のセキュリティ対策では難しい脅威の検出や解析、復旧を迅速に行うサービスを始める。- トレンドマイクロ、コラボレーションソフト向けセキュリティ製品を発売
トレンドマイクロは、マイクロソフトのコラボレーションソフト製品に対応した統合セキュリティ製品「Trend Micro Collaboration Security」を発売する。 - トレンドマイクロ、定義ファイル不要のマルウェア対策に最新版
トレンドマイクロは、定義ファイルを使わずに不正プログラムを検出する企業向けソリューションの最新版を発売する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。