「標的型攻撃を(ファイアウォールやウイルス対策ソフトで)防ぐことはできない。対策をとるのであれば、パソコンが攻撃にさらされても大丈夫な仕組みが必要」---。標的型攻撃対策ソフトを開発するフォティーンフォティ技術研究所は、標的型攻撃対策のあり方を、こう説明する。
最近の標的型攻撃では、添付ファイルを開くよう巧妙に仕向けられるため、現実的に、悪意のあるファイルがメールで送られてきたら、ほぼ間違いなくクリックしてしまう。このファイルは、アプリケーションの脆弱性を突く。パッチを当てていれば発動しない脆弱性であっても、ほとんどのユーザーはパッチを当てない。つまり、標的型攻撃を受けたら、ほぼ間違いなくやられてしまう。
こうした状況の下、悪意のあるファイルをクリック/起動しても大丈夫な仕組みとして登場した製品が、標的型攻撃対策製品である。これらは、“標的型攻撃に特化した専用エンジン”であり、パソコンに対する攻撃を実際に発動させてから、これを検知/防御する。既存のウイルス対策(発動させることなくマルウエアを検知する)とは異なるアプローチをとる。
標的型攻撃対策製品の代表が、エンドポイント型の「yarai」(写真1)と、ゲートウエイ型の「FireEye」(写真2)である(表1)。
製品名 | yarai | FireEye Email MPS |
ベンダー | フォティーンフォティ技術研究所 | 米FireEye、販売会社はマクニカネットワークス |
製品情報URL | http://www.fourteenforty.jp/products/yarai/ | http://www.macnica.net/fireeye/ |
アーキテクチャ | エンドポイント型 | ゲートウエイ型 |
価格(税別) | 1本当たり9000円から(ボリューム割引あり) | 1099万円から(1時間当たり1000個の添付ファイルを実行検査できる) |
概要 | 社員のWindowsパソコン上で4つの対策エンジンが動作。脆弱性攻撃の検知、静的解析、サンドボックス、振る舞い検知で構成 | ゲートウエイ上に用意した仮想マシン(Windows)上で、脆弱性攻撃やマルウエアを検知。メール用のほかWeb用製品(出口対策)も用意 |
エンドポイント型は、実際に攻撃の対象となるエンドユーザーのパソコンを直接守る。一方、ゲートウエイ型は、ゲートウエイ上に仮想のエンドポイント(Windows環境)を用意することによって、エンドユーザーのパソコンにソフトをインストールしなくてもいいようにしている。
脆弱性を突く攻撃ファイルがメールで送られてくる
標的型攻撃対策においては、まず、何に対して対策をとるのかをはっきりと認識することが重要である。攻撃の種類に応じて、とるべき対策が変わるからである。現在、一言で標的型攻撃と言っても、意味するところはさまざまだ。
狭義の標的型攻撃とは、有名企業など、特定の組織だけを狙った攻撃である。組織から金銭的利益を得たり、組織に損害を与えたりすることを目的とする。攻撃を成功させるための手段として、手の込んだソーシャルハッキング手法を用いたり、ゼロデイ攻撃(既知ではない攻撃)を利用したりする。
標的型攻撃で用いられる典型的な攻撃プロセスは、以下の通りである(図1)。
(1)まずは、脆弱性を突くファイル(オフィス文書やPDFファイル)をメールで送り付ける。一般のメールサーバーやウイルス対策ゲートウエイ(メールサーバー型)では、こうした悪意のあるファイルを検知することはできない。
(2)ユーザーが添付ファイルをクリックして開くと、脆弱性を突くコードが起動し、シェルコードが作らる。こうして、外部と通信するためのバックドア(本丸である実行形式のマルウエア)がパソコン上に生成される。マルウエアは、添付ファイルに最初から含まれている場合もあれば、Webからダウンロードさせる場合もある。
(3)最終的に、バックドア(本丸であるマルウエア)が、攻撃者が用意した外部の管理サーバーと通信することによって、さまざまな情報収集/調査活動を行う。外部と通信する手段としては、一般にWebブラウザが用いられる(Webブラウザに寄生する)。
こうした攻撃からパソコンを守ることが、標的型攻撃対策となる。
この先は日経クロステック Active会員の登録が必要です