ハッカーたちは、企業のネットワークに侵入しようと、飽くことのない創意を発揮し続けています。実際、最近のマルウェア攻撃のなかには、企業の活動を停止に追い込み、関係者から金銭を奪ったり、大勢の消費者の信用を損ねたりして、ニュースの見出しを賑わせたものもあります。こうした攻撃があるたびに明らかになるのが、サイバー犯罪者も進化を続けており、多くの企業のセキュリティ防御をすり抜ける脅威を生み出しているということです。高度なマルウェアともなれば、セキュリティ防御を感知して無力化するという、生物としてのウイルスなみの性質まで備えている場合があります。
クラウドアプリケーションの導入が広がり、従業員が使うモバイルデバイスも急増するなかで、ハッカーがこれほど執拗な活動を続けている以上、企業は増え続ける高度なマルウェア攻撃から身を守る手段を、新しく見いださねばなりません。これはかなり厄介な問題です。デバイスやアプリケーション、ユーザーによって異なる脅威にどこからでも対処できるソリューションは、どこにあるのでしょう。その答えは、空を見上げていて見つかるものではありません。しかし、視線を雲に、クラウドに転じれば、企業向けの革新的なセキュリティソリューションをどこで探せばいいのか、手がかりがそこにあります。
問題: 進化し続ける脅威の性質
ネットワークセキュリティが進化するように、マルウェアも進化します。今まで以上に認識能力と適応性が高くなり、新しい拡散経路を探りながら、動作検出を回避するように変質しているのです。具体的な進化の例をあげてみましょう。
仮想マシンの認識 ―仮想のサンドボックス環境で動作していることを感知でき、自身を偽装できるマルウェアを作成する攻撃者が増えています。
ファイルも URL も多形態に ―マルウェアファイルは、感染性ウイルスのように形態変化や変異をとげ、シグネチャベースの検出をすり抜けるようになってきました。自動化したシステムを利用して、攻撃者は絶えずファイルの見かけを変え、そのファイルをユーザーの防衛線に向けて大量に送りつけます。どれかが防衛線を突破し、動き始めることを期待しているわけです。ドメイン生成アルゴリズム(DGA)を利用して数学的に新しいドメインを計算すれば、URL でも同じような操作ができ、ブラックリストのような技術では対処できなくなります。
多段階、多経路の攻撃 ―巧妙なサイバー犯罪者になると、多段階の攻撃を用意して企業の防衛網を突破します。攻撃者は Web ベース、メール、ファイルベースの侵入を選んで自由に組み合わせ、狙った結果を達成しています。
通信の暗号化 ― ネットワークセキュリティシステムの大部分は、暗号化されたデータをスキャンしてマルウェアを検出する機能を備えていません。そこに目をつけた攻撃者は、組み込んだマルウェアと、リモートのコマンド & コントロール(C&C)サーバーとの間で通信トンネルを確立する際に SSL を使うようになりました。
紛らわしいファイル形式 ―マルウェアは、無害なファイルに偽装することがあります。たとえば、JPEG に偽装し、実際には内部に実行可能ファイル(.exe)が仕込まれたマルウェアファイルが知られています。あるいは、後から実行可能ファイルに変化し、ネットワークにマルウェアをまき散らすマルウェアファイルもあります。
ユーザー操作による起動 ―正規のソフトウェアになりすましたマルウェアは、わかりやすく親切そうなダイアログボックスを表示して、ソフトウェアのインストールを求めます。ユーザーがインストールを許可してしまうと、すかさず動作し始めるという仕組みです。
標的を限定した独自のマルウェア ―標的を限定した「スピア型フィッシング」攻撃に組み込まれるマルウェアもあります。あるユーザーに狙いを定めると、その標的だけに特有の情報を利用してファイルを開かせようとします。ファイルが開かれると、攻撃者は特定の情報を探し始めます。
クラウド(クラウド型セキュリティ)、登場
こうして脅威が高度に発達してくると、それに対処するために、脅威に対する防衛策の見直しが必要になってきます。しかもその防衛策は、企業が Web や企業向けアプリケーションをどのように利用しているのかという現実に即したものでなければなりません。従業員が広範囲に広がると、ラップトップやモバイルデバイスを使って直接インターネットに接続し、SaaS アプリケーションを利用するようになります。そうなれば、クラウド型のセキュリティと脅威防止を視野に入れることが必要になってきます。クラウド型セキュリティは、プロビジョニングも簡単で、あらゆる Web トラフィックについてセキュリティと脅威防止に取り組むことができます。サブスクリプションベースのサービスなので、需要の増減に合わせてスケールアップとスケールダウンが容易だというメリットもあります。配備が簡単とは言え、必要な範囲で最高レベルの脅威防止を提供できるよう配慮が必要です。シマンテックによるクラウド型セキュリティサービスを詳しくご覧になれば、シマンテックのソリューションが真にエンタープライズクラスと評価されている理由をご理解いただけるでしょう。
解決策: シマンテックのクラウド型セキュリティ、マルウェア解析サービス
シマンテックの研究開発部門は、進化し続ける新しい攻撃技術に対処するために、シマンテックを強化することに全力を注いでいます。高度な解析手法から、検出技術をすり抜けようとするマルウェアの特定と無効化まで、多層のシステムをシマンテックは開発しました。こうした多層技術で、既知の脅威を遮断し、新しい未知の脅威も解析して、進化した攻撃に備えます。システム全体が、エンタープライズクラスの保護を提供しつつ、誤認率を最小限に抑えるという前提で設計されています(セキュリティやインシデント対応の担当者が、誤報への対処で貴重な時間を無駄にしないために)。
Symantec Global Intelligence Network を活用する Web セキュリティサービス
シマンテックがクラウドで提供する Web セキュリティサービス(WSS)には、GIN(Global Intelligence Network)からデータが供給されています。GIN は、民間として世界最高峰のサイバー防衛用脅威インテリジェンスサービスです。GIN のデータをもとに、企業は細分化されたカテゴリに URL を分類し、所定のリスクスコアを確認することができます。ネットワークには、これまでに確認も分類もされていない Web サイトが 10 億単位で存在し、消費者が送受信するメールは 1 日あたり 20 億通を超えています。シマンテックは、15,000 社の企業と 1 億 7,500 万の消費者およびエンタープライズエンドポイントから集められた脅威情報と遠隔測定データを利用して、それを分類し解析します。シマンテック独自の専門技術と解析手法でそうした情報を利用して、「既知の不良」ファイルや、企業が避けるべきサイトが定義されていきます。Web とファイルアクセスに関する制御ポリシーを Symantec WSS で設定すれば、「既知の不良」は入り口でとどめられ、社内に害が及ぶことはありません。Symantec WSS では、コンテンツ解析機能も利用します。二重のマルウェアエンジンを使い、ブラックリスト/ホワイトリストのファイルも比較して、危険性のあるファイルについてさらに詳しい解析が実行されます。
シマンテックのマルウェア解析サービス
マルウェアの作成者が仮想環境とエミュレーション環境をどちらもすり抜けることはきわめて困難なので、シマンテックのマルウェア解析サービスは、Symantec WSS と連携して動作解析とサンドボックス処理機能を備え、高度な脅威の検出と防止に対応しています。ここで使われるのが、エミュレーションと仮想化を組み合わせて悪質なコードを識別する強力な機能です。仮想化が実行される仮想マシンはフルライセンス版の Windows なので、ユーザーはどんなアプリケーションでもインストールできます(Office、Adobe、Quicken、さらにはカスタムアプリケーションも)。この仮想マシンを、シマンテックは Intelligent VM(iVM)と呼んでいます。エミュレーションによるサンドボックス環境は Windows ソフトウェアではなく、Windows ライクな API に基づいて完全に再設計されたコンピューティング環境です。完全制御されたこの人口環境であれば、マルウェアにも本当のコンピュータに侵入したと思い込ませることができます。
クラウドなら簡単。ぜひお試しください
急速な進化をとげながら連日ネットワークを攻撃してくる高度な脅威に対処する―そのときに必要な保護機能を提供するというのが、Symantec WSS と、そこに統合される Symantec Malware Analysis Service の設計思想です。企業の資産を保護するサブスクリプションサービスについて詳しくは、ぜひお問い合わせください。「既知の良品」を通過させ、「既知の不良品」を遮断するとともに「未知のもの」は正確に解析する信頼性。シマンテックにお任せください。
詳しくはこちらをご覧ください。
【参考訳】