モダンマルウェアの脅威から組織を守る次世代ファイアウォール

次世代ファイアウォールとWildFireサービスで実現する標的型攻撃防御

特定の企業や団体を狙った標的型のサイバー攻撃による情報漏洩事件が相次いでいます。その中でも標的型攻撃とよばれる新しい脅威では、重要な機密情報を標的に密かに攻撃が進行するため、従来の情報漏洩事件と比べ被害が深刻化しています。従来のファイアウォールやアンチウイルス、アンチスパイウェアなどで防御できないことが、さらに深刻さを深めています。次世代ファイアウォールとそれに追加された新たなマルウェア検知サービス「WildFire」は、こうした標的型攻撃の脅威への対応を可能にしました。

GoogleやYahooなど30社を超える企業が攻撃を受け、アカウントやパスワードが漏洩した「オペレーションオーロラ」、イランの原子力関連組織が標的にされた「スタックスネット」、石油・エネルギー・製薬関連企業を狙った「ナイトドラゴン」などが、海外での標的型攻撃として知られています。国内でも大手ゲーム機器メーカーや防衛産業企業、政府機関が標的にされた情報漏洩事件が明らかになるなど、標的型攻撃の脅威があらためて喧伝されました。

標的型攻撃の特徴

  • 重要なデータを確実に搾取するために特定の組織やホストをターゲットとして巧みに攻撃
  • 従来のサイバー攻撃のように不特定多数を対象にマルウェアをばらまくものではないめ、ウイルス対策ベンダーがマルウェア検体(サンプル)を入手できることは希。そのため、新種、亜種のパターンファイル(シグネチャ)が作成できず、従来のセキュリティ対策での防御は困難
  • 標的攻撃で使われるマルウェアは単体ウイルスでなく、「モダンマルウェア」と呼ばれるネットワークアプリケーション。ネットワークを活用しながら本体をダウンロードして自身を機能強化したり、ネットワークセキュリティを回避するよう高度に設計

モダンマルウェアはこうしてデータを搾取する!

モダンマルウェアは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する手法(ソーシャルエンジニアリング)を特徴とします。標的とする組織の従業員を狙って巧みに接触し、脆弱性を悪用してウイルスやスパイウェアなど複数の既存攻撃を組み合わせ、深く静かに進行して情報を搾取します。その多くは次のようなステップで進行します。

STEP1
標的組織のユーザーを騙す

modern-malware01.png (263x140)

SNSなどを利用して標的にする組織の実名登録しているユーザーを洗い出し、魅力的な異性や実在する社員名などで友達リクエストを送信

STEP2
不正コードの実行

modern-malware02.png (263x160)

SNS上のやり取りやメールで、ユーザーを不正コードが埋め込まれたサイトに誘導

STEP3
バックドアツールのダウンロード

modern-malware03.png (263x170)

脆弱性を悪用した不正コードが端末上で実行され、バックドア通信用のマルウェア本体をダウンロードして、ユーザーに気づかれることなくインストール

STEP4
情報搾取用バックチャネルの確立

modern-malware04.png (263x150)

バックドアツールが独自暗号でインターネット上のC&Cサーバーと通信して指令を受けた行動を開始。PC上にある機密情報の収集、社内のアプリケーションサーバー上へ攻撃用ツールを埋め込む。

STEP5
情報の搾取

modern-malware05.png (263x150)

感染端末から秘密裡に情報を盗み出して外部サーバーに送信しまた攻撃用ツールを埋め込んだサーバーに対して外部から攻撃開始

従来のセキュリティ対策で防御が困難だった、こうしたモダンマルウェアによる標的型攻撃に対して次世代ファイアウォールは3つの対策で防御します。

  • 対策 1: 脅威の侵入経路を狭める
  • 対策 2: モダンマルウェアの侵入を検出・ブロックする
  • 対策 3: 侵入を許した感染端末をできる限り早く発見する

次のページを読む

モダンマルウェアによる標的型攻撃に対して、3つの対策で防御します

対策 1: 脅威の侵入経路を狭める

App-IDによるアプリケーションレベルで通信制御

次世代ファイアウォールのApp-ID機能は、すべてのトラフィックをアプリケーションレベルで可視化・制御することができます。これによりモダンマルウェアの進入経路となり得るアプリケーション通信を制限し、潜在的なリスクを低減できます。

  • SNSアプリケーションの社内利用を制限またはブロック
  • Webメール、SkypeやWindowsLiveMessengerのようなP2P技術を利用したメッセージングアプリケーション、Web型のファイル共有アプリケーションの通信を制御
  • 拠点間やセグメント間などの社内アプリケーション通信も監視・制御することで、万が一社内に侵入された場合でも被害を最小化

modern-malware06.png (263x140)

対策 2: マルウェアの侵入を食い止める

Content-ID+WildFireによるモダンマルウェア防御

次世代ファイアウォールのContent-IDというスキャニングエンジンは、アプリケーションに埋もれたウイルスやスパイウェア、脆弱性攻撃をシグネチャベースで検知・ブロックします。さらに、シグネチャが末対応でContent-IDを通過した未知のマルウェアは、クラウド型の未知マルウェア検知サービス「WildFire」によって検知します。

  • マルチギガビットの高速スキャニングによりシグネチャベースで脆弱性攻撃、マルウェア、バックドア通信といった脅域から幅広く防御
  • SSL暗号通信、トンネル通信、圧縮ファイルなどに埋もれた脅威や機密ファイル持ち出しの検知
  • WildFireにより、未知のマルウェアであっても振る舞いベースで発見して、迅速にシグネチャを提供し対応

modern-malware07.png (263x285)

  • ストリームベースの高速スキャニングによりアプリケーションに埋もれた脅威を検知
  • SSL暗号通信、トンネル通信、圧縮ファイルなどに埋もれた脅威や機密ファイルもブロック
  • 仮想実行(sandbox)環境でプログラムを実行することで振る舞いベースでマルウェアを検知
  • 迅速にシグネチャを自動生成し対応

対策 3: 侵入を許した感染端末をできる限り早く発見

ボットネット検知レポートの活用

万が一、モダンマルウェアが侵入してしまった場合でも、感染した端末を迅速に検知し、被害の拡大を防止することが重要です。次世代ファイアウォールのボットネット検知レポートは、ボットネットの通信をその特長から検出し、感染した疑いのある端末を割り出します。

  • 不明なプロトコルやIRCといったアプリケーション通信が多いなどの特長からバックドア通信を検出
  • HTTP通信を偽装したバックドア通信も検知可能
  • 感染した疑いのある端末をリストアップし、定期的にレポート

modern-malware08.png (263x130)

標的型攻撃に対応!モダンマルウェアを制御するWildFire

WildFireは、標的型攻撃に使われるモダンマルウェアに対処可能なクラウド型未知マルウェア検知サービスです。ファイルをクラウド上にある仮想環境で一旦実行してみてインストール後の端末上での挙動を明らかにすることにより、未知のマルウェアであっても検知することが可能です。

  • クラウドサーバー上に用意された仮想サンドボックス環境でファイルを実行することで、その振る舞いを元にマルウェアを検知。
  • 特定されたマルウェアの本体やバックドア通信に対するシグネチャを自動的に生成しインターネットを経由して配信。
  • マルウェアの活動に関するフォレンジックと分析を提供(ターゲットとなったマシン上での動作、マルウェアの伝染に用いられたアプリケーション、マルウェアの配信に利用されているURLのリスト)

※WildFireを用いた実証試験データによると、検査対象となった35,387個のファイルのうち、7%以上が未知のマルウェアでした。そのマルウェアの57%は、どのウイルス対策ベンダー製品でも検知できず、またウイルス報告サイトでも未発見のものでした。

modern-malware09.png (430x200)

pdf 印刷用PDFファイルはこちら。

前のページに戻る