FireEye 製品担当上級バイス・プレジデントのマニッシュ・グプタ氏は2013年10月10日、東京ビッグサイトで開催中の「ITpro EXPO 2013」で「標的型やAPT攻撃などの高度なサイバー攻撃を防御する、次世代型脅威対策の必要性」と題する講演を行った(写真1)。
「クラウド、モバイル、ソーシャル、ビッグデータはテクノロジーのトレンドを表すものであり、今後もイノベーションが続くことを約束してくれる。だが、それらと同じようにマルウエアもすごい速度で進化している。世界中の企業の95%がすでにマルウエアに感染しているとも言われている」。
講演の冒頭でグプタ氏はこう話し、聴講者の興味を誘った。
1980年代に「Melissa」や「Code Red」といったマルウエアが出現し、それに対処する形でシグネチャベースのアンチウィルス製品が誕生した。この試みはうまくいった、なぜなら当時のマルウエアは皆、「スプレーアンドプレイ」のタイプだったから。スプレーのように多くのマシンに散布し、そのうちのいくつかに感染したらラッキーといったものだったのである。
だが、ここ3年の間でマルウエアは大きく変わった。「APT(Advanced Persistent Threat)」というサイバー攻撃が生まれたからだ。「APTは標的を決め、攻撃を始めるまで姿を現さず、シグネチャを掴むこともできない。もはやシグネチャベースのテクノロジーでは検知不可能。従来型のセキュリティ技術を使って新しい脅威に対抗するのは、銃撃戦にナイフで戦うようなものだ」とグプタ氏は表現する。
すべての業種の企業がAPTの標的に
FireEyeが2013年に世界中のユーザー企業を調査したところ、3分に1台の割合でマシンがAPTに感染していることがわかった。いわゆるコマンドアンドコントロールのトラフィックは184カ国に及び、その量も前年比41%増えている。
攻撃の対象も広がっている。どんな業種の企業でもターゲットになり得るのが現状だ。そしてその攻撃の89%は中国に関連していると言われている。世界中のパテントの80%と特許の18%を持つ日本は、ナレッジエコノミーの国だと言えるだろう。“知識”がGDPの源になっており、これを失うことはできない。
だが、FireEyeが日本の顧客とビジネスを行ってきた2年間で明らかになったのは、すべての業種の企業がAPTの標的になっているということ。また、FireEyeの世界中の顧客の45%がAPT攻撃に狙われているのに対し、日本の顧客は68%にも上っている。日本の知識は狙われているのだ(写真2)。
2300万のマルウエアを発見
先進型の攻撃は5つのステップを踏んで行われる。その最初のステップをエクスプロイトと言う。エクスプロイトがWebページに埋め込まれた場合は、すべてのコンテンツを解析しなければならない。そうしないとエクスプロイトのコードがあるかどうかわからないからだ。
エンドポイントのマシンがエクスプロイトに感染すれば、ハッカーはこれを使っていつでも攻撃を仕掛けることができる。したがってエクスプロイトを検出することが重要になる。
有名なAPTの1つに「Operation Aurora」がある。Internet Explorer 6の脆弱性を突いてエクスプロイトコードをダウンロードするものだが、FireEyeはエクスプロイトコードを探す技術を持つ。そのため、Operation Auroraのシグネチャがなくても検出することができたのだ。
「シグネチャを作っても、マルウエアは毎時、姿かたちを変える。従ってシグネチャベースのテクノロジーはもはや役に立たない」(グプタ氏)。一方、FireEye製品はリアルタイムに高度なマルウエアの検出を行う仮想実行エンジン「MVX(Multi-Vector Virtual Execution)」を搭載しており、このテクノロジーによってほとんどの先進型の攻撃を検出することができるという。
グプタ氏は講演のまとめとして、これまで顧客環境で発見したマルウエアの数は2300万、2012年に184カ国で発見したコールバックの数は1200万、一般的な環境で攻撃が行われてからFireEyeにより検知されブロックされるまでの平均時間は3分などと、FireEyeにまつわるいくつかの数字を紹介し、演台を降りた。
