どうやって「標的型攻撃」からデータを守る? 「Interop Tokyo 2015」でセキュリティ各社が披露した最新技術

『THE ZERO/ONE』編集部

June 16, 2015 15:30
by 『THE ZERO/ONE』編集部

6月10日から12日にかけて、国内最大級のネットワーク技術とITソリューションの展示会「Interop Tokyo 2015」が東京・幕張で開催された。486社が出展し、3日間で約13万6000人が訪れた。会場には、情報通信研究機構(NICT)が開発したサイバー攻撃の可視化&分析プラットフォーム「NIRVANA 改」や、マイナンバー導入に関する製品が数多く展示された。

セキュリティ分野で注目を集めていたのは「標的型攻撃」関連のブースだった。日本年金機構が標的型攻撃を受け、基礎年金番号や氏名などの約125万件の個人情報が流出したことが明らかになった直後だっただけに、多くの人が足を止めていた。

年金機構の流出事故は、マイナンバー法改正案の採決見送りや、新たな特殊詐欺の誘発など、各方面に大きな影響を及ぼした。標的型攻撃そのものは新しい手口ではないが、被害が一向に減る気配がないのは、使われるメールの文面やマルウェアが仕込まれた添付ファイルの内容が洗練されてきているからだ。日本の政府や企業だけをターゲットにした攻撃も増えており、もはや個人が自己判断で解決できるレベルではなくなっている。組織のトップは、標的型攻撃への対応を現場の判断に委ねるのではなく、セキュアな環境を自前のネットワークに組み込んでいかねばならない時期にきている。Interopでは、それを解決するためのさまざまなソリューションが各社から提示された。

標的型攻撃を防ぐには、以下の3つがポイントとなる。

(1)ファイアウォール
外部・内部からの不正な通信を監視し遮断する機能。外部からの攻撃を防ぐだけでなく、マルウェアに感染した内部のクライアントPCが、攻撃者の用意した外部サーバーと不正な通信を行い、情報を盗む行為を働いていないかもチェックする。

(2)サンドボックス
ネットワークの外側から内側に持ち込まれるファイルを安全な場所で検証し、怪しい動きをしないかを分析する。

(3)エンドポイントセキュリティ
クライアントPCに導入し、マルウェアに感染していないか、怪しい通信を行っていないかの監視を行う。いわゆる、クライアント向けアンチウイルソフトやセキュリティツールの総称。

各社とも、この3つの要素をベースに、製品やサービスを提示していた。なかなか特色が出せない分野ではあるが、いくつか特徴的なものを紹介したい。

*  *  *  *  *

未知の脆弱性にもクラウドを使い素早く対応
パロアルトネットワークス「WildFire」
https://www.paloaltonetworks.jp/products/technologies/wildfire.html

次世代ファイアウォールで有名なパロアルトネットワークスは、「エンタープライズセキュリティプラットフォーム」と題して、ファイアウォール、サンドボックス、エンドポイントの3点セットのソリューションを公開していた。面白いのはサンドボックスの「WildFire」。この製品はクラウド上で怪しいファイルを実行・精査し、ネットワークの侵入を防ぐものだ。WildFireの分析センターでは毎日約55万のファイルを解析し、1日に平均3万1000のマルウェアを発見。そのうち70%は一般的なアンチウイルスソフトでは発見できなかったという。クラウド上で動くだけでなく、徹底的な自動化も施されており、専任のスタッフを配置する必要がない。

業界初! 設置するだけで運用可能
富士通「iNetSec Intra Wall」
http://www.pfu.fujitsu.com/inetsec/products/iw/

イントラネット内に設置する、標的型攻撃に特化されたファイアウォール「iNetSec Intra Wall」。標的型攻撃に対処するために、ネットワークの内側に設置する初のファイアウォール製品で、特許も出願済みという。ファイアウォールを乗り越えてやってきた外部からの脅威、USBや光学ディスクなど内部から持ち込まれる既存・未知の脅威に対応し、ネットワーク内の通信をリアルタイムで監視する。もしマルウェアに感染した通信パターンを発見したら、感染した端末を遮断する。シグニチャーレス、エージェントレスで運用でき、内部に設置するだけでセキュアな環境を構築できるという。

危険性が後から判明しても追跡ができる
シスコ「Cisco AMP」
http://www.cisco.com/web/JP/solution/security/advanced-malware-protection/index.html

シスコのセキュリティ・ソリューションは、「侵入」「検出」「復旧」の3つのポイントから、様々な製品を展開している。なかでも興味深いのは、復旧を目的とした「Cisco AMP(Advanced Malware Protection)」だ。Webアクセスや電子メールを受信した際に「怪しい」と判断された”動き”を継続的に監視をするものだ。一般的なソリューションであれば、一度許可して内部に入ってきたファイルが、後日怪しいとわかってもトレースは困難である。しかし、AMPは感染の危険性が後から判明しても、追跡が可能だという。

*  *  *  *  *

日本年金機構の流出問題について、あるセキュリティベンダーの担当者は「セキュリティ製品を販売すべき層にまだまだ届いていなかった」と残念そうに語った。ただ今回、様々なブースを周って説明を聞いたが、セキュリティにある程度詳しい人が聞いても理解しづらいと思える内容も多かった。「簡単運用」「専任スタッフ不要」と簡易さをアピールしているブースは多かったが、製品のコンセプトや機能を理解するには相応の知識が必要とされるものばかりだ。一般ユーザーのリテラシー向上も大事だが、セキュリティベンダー側も、もう少し”伝える力”を磨いていく必要がありそうだ。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…