SSLの中身やFTPに注目を、次世代ファイアウォールが捉えた脅威（1/2 ページ）

パロアルトネットワークスのセキュリティレポートから、企業ネットワークにおけるアプリケーションの利用や脅威の実態と、「未知のマルウェア」の傾向が浮かび上がってきた。

[國谷武史，ITmedia]

　ネットワーク上のアプリケーションの利用状況などを可視化するセキュリティ製品「次世代ファイアウォール（NGFW）」が捉えた企業ネットワークの動向について、NGFW大手ベンダーのパロアルトネットワークスが初めてレポートを発表した。アプリケーションの利用や脅威、「未知のマルウェア」の傾向が浮かび上がってきた。

　まず、世界3056社のユーザー企業におけるアプリケーションの利用や脅威の動向をまとめたレポート（集計は2012年5〜12月）によると、合計で1395種類のアプリケーションと12.6ペタバイトのトラフィックが確認された。

　アプリケーションの利用動向をみると、ソーシャルネットワーキングは66種類（平均11種類）が見つかったものの、総帯域消費量に占める割合が1％だった。66種類の中で最も利用が多いのはFacebookの70％。地域別でみた場合、特にTwitterの利用は日本が世界平均より3倍多いことも分かった。なお、ソーシャルネットワーキング上では脅威は発見されなかったという。

　12種類が見つかったファイル共有アプリケーションではP2P型の「BitTorent」が、ファイル共有アプリケーションによる帯域の53％を占め、日本だけでも25％を占めた。なお、世界平均ではBitTorentの存在が際立つが、日本ではFTP（43％）、パーフェクトダーク（7％）、シェア（4％）の帯域占有率が世界平均を上回った。

全ファイル共有アプリケーションにおける占有率（帯域幅ベース）　出典：パロアルトネットワークス

　写真や動画アプリケーションは、総帯域消費量の10％を占めていた。マルウェアなどの脅威の検出は、その他のアプリケーションに比べると少なく、むしろ、業務生産性の低下といった問題を引き起こしかねないという。

　NGFWで検知した脆弱性悪用攻撃は389種類、約86万回に上った。攻撃全体の56％が、Microsoft Exchangeなどの製品が利用する「MS-RPC」アプリケーションを狙っており、ファイル共有などの「SMB」も29％を占めた。標的になったアプリケーションは960種類だが、うち6種類だけでエクスプロイトログ全体の97％を占め、6種類中5種類がビジネス関連のアプリケーションだった。

　また、検知されたユニークなマルウェアは89種類で、約200万回検知された。検知の多いアプリケーションの上位5種類だけで全体の99％を占める。内訳はDNSが52％、カスタム／未知のUDPが45％、Webブラウジングが1％、IRCが0.9％、HTTP audioが0.2％。DNSが際立つのは、同社のNGFWではマルウェア配布サイトへの通信を遮断しているためだという。

　こうした動向の中で、同社はSSL通信に注目している。通信が暗号化されていることからその内容を確認することが難しく、脅威を隠ぺいしやすいためだ。1395種類のアプリケーションのうち156種類が何らかの形でSSLを使用していたが、48種類では標準のTCP/443ポートを使わないものだった。48種類中17種類は使用するポートを常に変更し、12種類は非標準のポートを利用していた。

　レポートをもとに企業が取るべきセキュリティ対策のポイントについて、同社技術本部長の乙部幸一朗氏は、（1）業務におけるソーシャルネットワーキングの利用目的を確認する、（2）BitTorentなどのファイル共有はブロックし、FTPは集中的に監視する、（3）動画系アプリケーションは生産性の観点から適宜QoSを適用する――などを挙げる。SSLについては、マルウェアの侵入経路などに悪用される可能性があるため、必要に応じて復号化し、中身を検査することが重要だとしている。