オランダのレッドソックスは、企業ネットワークがマルウエアに感染していることを前提としたマルウエア対策装置「RedSocks Malware Threat Defender」(RedSocks MTD)を開発したベンダーである。犯罪者がインターネット上に用意したC&Cサーバー(司令塔サーバー)との通信を検知する機能に特化している。ITproは2015年7月16日、販売代理店のネットワールドによる製品発表(関連記事)に合わせて来日した同社CSO(最高戦略責任者)に、マルウエア対策の課題と同社製品の位置付けを聞いた。
現在のユーザー企業が抱えるマルウエア対策の課題は。
現在のマルウエア攻撃は70%が成功する。つまり、すべての企業は何らかの形ですでにマルウエアに感染している。我々だけがこのように語っているわけではなく、中立的な立場の大手調査会社も「マルウエアは皆の組織に入っている」と言っている。
企業ネットワークに感染したマルウエアは、検知までに平均で400日かかる(2012年の平均)。現在はセキュリティ技術の向上によって検知までの平均日数は205日と短縮されたが、まだ約7カ月間もの時間がかかる。この間ずっと、情報を盗み出せる状態になっている。
マルウエアに感染していることを前提にした新しいマルウエア対策が求められる。これまでのような入り口対策ではなく、マルウエアからC&Cサーバーへの通信を検知する出口対策が必要だ。こうした前提に立って2012年にレッドソックスを創設した。
RedSocks MTDの特徴は、インターネットに出ていくアウトバウンド方向のトラフィックを監視して、C&Cサーバーとの通信を検知する目的に特化していることだ。感染から検知までの時間を数分へと大幅に短縮できる。
どうやってC&Cサーバーを検知するのか。
判断材料として、企業のルーター/ファイアウォールからNetFlow/IPFIXで収集したフロー情報(IPアドレス/ポート番号やURL、タイムスタンプなど)を使う。レッドソックスのデータセンターからフィード形式で転送されてくる最新の知識データベースとフロー情報を突き合わせることで、C&Cサーバーあての通信を検知する。フロー情報と突き合わせる知識データベースは、1時間に1回の頻度で更新する(2015年9月には30分に1回へと頻度を高める)。
フロー情報からC&Cサーバーとの通信を検知するやり方は二つある。
一つは、社内のパソコンやサーバーがインターネットと通信する際のあて先IPアドレス/URLが、C&CサーバーのIPアドレス/URLに合致しているかどうかを見るというもの。知識データベースには、精査してデータ品質を高めた約100万件のIPアドレス/URLリストが含まれている。マルウエアが利用するプロキシサーバーのリストやIPチェックサイトのリストなども含まれる。
C&Cサーバーのリストを使わずに検知するやり方も用意している。C&Cサーバーと通信する際の挙動を、その振る舞いを検知して調べる仕組みだ。これにより、特定の企業のために個別に用意したC&Cサーバーなどのように、共有知のリストでは漏れてしまうような場合でもC&Cサーバーを検知できる。
フロー情報だけで振る舞いを検知できるのか。ユーザーが自前でサンドボックスを用意してC&CサーバーのIPアドレス/URLを抽出する必要はないのか。
振る舞い検知型でC&Cサーバーとの通信を突き止める場合も、判断材料はあて先IPアドレス/URLやプロトコルなどのフロー情報だけでよい。最大で3日間分のフロー情報の履歴を用いて、どういったパターンで外部と通信しているかを調べ、C&Cサーバーとの通信らしいパターンを検知する仕組みだ。検知のアルゴリズムや知識は複数あるが、例えば通信のインターバル(間隔)などから判定する。
もちろん、RedSocks MTDだけあればマルウエア対策として万能というわけではない。既存のマルウエア対策と組み合わせて使うものだと捉えている。実際にPoC(導入前実機検証)の事例では、米パロアルトネットワークスの次世代ファイアウォール(サンドボックス機能も利用)などと組み合わせる例が多い。
C&Cサーバーのリストはどうやって作っているのか。
まず、IPアドレス/URLリストなどのデータを外部から購入している。これとは別に、レッドソックス自ら調べている。例えば、1日当たり35万件以上のマルウエア検体を、サンドボックスやベアメタル環境で実際に動作させて調べ、C&CサーバーのIPアドレス/URLを抽出している。
