標的型攻撃対策の準備から運用まで、NRIセキュアが新サービスを立ち上げ

企業の機密情報を狙う攻撃に組織がどのくらい脆弱なのかを把握し、不正プログラムが侵入しても、その活動を阻止することで被害の軽減を図る。

[國谷武史，ITmedia]

　NRIセキュアテクノロジーズは11月30日、メールを悪用した標的型攻撃から企業の機密情報を保護することを支援するという新サービスを発表した。擬似的に攻撃を仕掛けて企業内の脆弱な部分を明らかにし、万が一不正プログラムが侵入しても、その活動を阻止することで機密情報を保護できようになるという。

　新サービスのメニューの1つでは同社が依頼企業に対し、不正プログラムを実際に社内ネットワークへ送り込めるかどうか、侵入に成功した場合に導入済みのセキュリティ対策で検知できるかどうか調べる。さらに機密情報が置かれているシステムに擬似的に不正アクセスを試み、社外に機密情報を持ち出せるかを検証する。

　また、別のメニューでは正規の内容に見せかけたメールを同社から依頼企業に送信し、社内の受信者がそれくらい開封してしまうかを調べる。社内の人材に対して細工されたメールで不正プログラムに感染してしまうなどのリスクを学習してもらい、一定期間後に再び送信して開封状況を調べ、開封率の比較などから学習効果を導きだす。

　標的型攻撃は、実在する組織や正規の内容に見せかけたメールに不正プログラムを添付したり、感染サイトへのリンクを記したりして特定の相手に送りつけ、受信者に開封させて、不正プログラムに感染させる。その後、感染したコンピュータを踏み台に攻撃者が外部サーバを経由して、機密情報を盗み出すなどの行動を取ることが知られている。

擬似的に攻撃を仕掛けて弱点を明らかにする

　テクニカルコンサルティング部セキュリティコンサルタントの西田助宏氏によれば、標的型攻撃は既存のセキュリティ対策をくぐり抜けたり、コンピュータユーザーの心理のすき間を突いてくるという。「企業ではどこから対策に手を付ければよいか分からないという声が聞かれており、まずは実際の攻撃を体験して弱点を把握することから始めてほしい」と話す。

　サービスでは不正プログラムの感染防止や、感染時に不正プログラムの解析や駆除を行うメニューも提供。このメニューではフォティーンフォティ技術研究所が開発したマルウェア対策ソフト「FFR yarai」を利用する。同製品はマルウェア特有の行動を監視して検出を行うヒューティスティック検出に特化し、定義ファイルでは検出できない不正プログラムでも高い精度で検出できるという。

　利用企業のコンピュータにインストールしたFFR yaraiの運用監視をNRIセキュアテクノロジーズが24時間体制で行う。FFR yaraiで感染を検出すると、その検体がNRIセキュアテクノロジーズに送られ、同社で解析し、その結果を利用企業にレポートで提供する。利用企業はレポートを基に感染状況を確認して、駆除や隔離などの対応が取れるようになる。

　MSS開発部 ITセキュリティコンサルタントの大八木啓之氏は、「標的型攻撃に使われる不正プログラムは定義ファイルを使ったウイルス対策では検出できない場合が多い」と述べている。

24時間体制で未知の不正プログラムを監視する

　費用は、擬似攻撃による脆弱ポイントの調査および擬似メールに調査がそれぞれ応相談、FFR yaraiを利用した監視サービスが月額10万円、分析・レポートが1件当たり8万円となっている。