コラム/トピック
「未知」より「既知」の脆弱性対策を!
マルウェアの種類から考える標的型攻撃対策
標的型攻撃対策には入口対策~内部対策~出口対策の多層防御が有効とされてきたが、投資負担や有効性などさまざまな課題も浮き彫りになっているという。コストをかけず最適な標的型攻撃対策についてCTCSPのセキュリティ担当者に話を聞いた。
新種のマルウェアを
検知できる割合はわずか30%
標的型攻撃が急増し続けている。そう喧伝されてかなりの月日が経つが、巷のさまざまなセキュリティ対策の努力を無視するかのようにその勢いは一向に収まる気配を見せていない。発生するマルウェアの数が慢性的に増えているからだ。複数の機関から発表された調査結果によると、2015年に発生したマルウェア数は4.3億個を超え、1秒間に約15個発生している計算になるという。
一方で、マルウェアの検知率も年々低下しており、新種のマルウェアを主要なウイルス対策ソフトで検知できる割合はわずか30%程度だといわれ、残りの70%は検知されることなく素通りしているということになる。さらに、侵入に成功したマルウェアが内部に潜伏してから検知されるまで平均146日もかかっているという。
「もはやパターンファイルだけでウイルスを阻止することは不可能な事態になった。あるセキュリティベンダーの幹部が『従来型のアンチウイルスソフトはもう死んだ』と述べたように、セキュリティ対策は新たな段階に移行していると考えるべきだろう」と語るのは、シーティーシー・エスピー株式会社(以降CTCSP)のセキュリティ担当者だ。
入口対策にサンドボックスを導入すれば安心というのは
幻想!?
標的型攻撃対策にはさまざまな課題も見えてきた。一般的な標的型攻撃の流れは主に次の通り。
- 初期侵入:メールの添付ファイルや改ざんされたWebサイトの閲覧によってウイルスに感染。
- 裏口構築:感染PCと攻撃者サーバの間に通信経路が確立されて攻撃者が制御。新たなマルウェアが取り込まれる。
- 内部拡散/情報収集:感染PCを起点に内部サーバやネットワークの機密情報が調査され、長期的な潜伏活動が行われる。
- 情報流出:取得した機密情報が攻撃者サーバに送信され情報流出が発生。
そのため、各ポイントでの適切な対応が必要になる。つまり、「入口対策」ではサンドボックス型マルウェア対策製品などで新たな脅威の侵入・感染を防ぎ、「出口対策」では危険な通信や制御を遮断して攻撃者への情報流出を防ぐ。また「内部対策」ではログや通信データの解析によって内部攻略や侵入の予兆を発見する仕組を構築する。そして、できる限り攻撃の初期段階で阻止することが被害も少なく対応コストもかからず効率的だといわれる。
図1 標的型攻撃は入口対策~出口対策~内部対策の各ポイントで適切な対応が必要といわれるが…
だがCTCSPの担当者は、「入口対策~内部対策~エンドポイント対策~出口対策の全てにバランス良く対策を広げる多層防御が有効とはいえ、セキュリティベンダーにとっては嬉しい話でもユーザー企業にとっては投資やコストがかさむやっかいな方法でしかない。もっと簡略化できないかという不満は多い」と問題提起する。
また、以前は入口対策として、サンドボックスを導入しておけば安心という認識があったが、今はサンドボックスだけでは完璧ではないことが分かってきた。モバイルPCを社外で利用した場合や、USBデバイスの利用、SSL通信など全てのコンテンツを可視化できるわけではなく、日本特有の「圧縮・暗号化してメールに添付されたファイル」(解凍パスワードは別メールで送付)は検査できないという問題もある。また、拡張子やOS、マイナーなアプリケーションなどの種類が多く、全ての環境を模擬実行することも困難になっている。
既知の脆弱性を突く攻撃が99.9%という事実
では、何から手を付ければいいのだろうか。その解を見つける有効な手段のひとつにマルウェアの種類を理解することが挙げられる。マルウェアを大別すると2種類に分類できる。1つ目は実行ファイル型マルウェア(従来型)。ファイルそのものがマルウェアで、パターンファイル型ウイルス対策で比較的対応しやすい。もう1つはデータ型マルウェア(高度化型)。プログラムの脆弱性を突く攻撃コードを含むファイルをPDFやExcelなどに見せかけ、ファイルを開くと攻撃コードが発動し感染するパターンが代表的な例だ。Webサイトを閲覧しただけでexeファイルをダウンロードされて感染するタイプのマルウェアもここに含まれる。
従来型の実行ファイル型マルウェアに対しては、実行可能なアプリケーションを極力限定し、ホワイトリストで指定する方策が取り得る。マクロファイルも信頼できるファイルでない限りはデフォルトで実行させない方がよい。
また、データ型マルウェアに対する方法としては、「未知」の脆弱性か「既知」の脆弱性かで分けて考え、既知の脆弱性を突く攻撃にはOS・アプリを常に最新の状態にすることが基本であり、未知の脆弱性を突く攻撃には振る舞い検知型のエンドポイント対策製品などを複数導入して対応するのが理想だといわれている。
だが、CTCSPの担当者は、未知の脆弱性の脅威に偏重する最近のセキュリティ業界の動向に疑問を感じているという。
また、ベライゾンが発表した「2015年度 データ漏えい/侵害調査報告書」によると、2014年に悪用されたCVE(共通脆弱性識別子:ソフトウェアの脆弱性を対象として米国政府の支援を受けた非営利団体のMITRE社が提供している脆弱性情報データベース)の件数を調べて見ると、悪用された脆弱性の99.9%がCVEに公開後1年以上経過した既知の脆弱性であることが判明し、古い脆弱性がまだ現役で活用されている実体が明らかになった。
図2 悪用された脆弱性の99.9%はCVEの公開後1年以上経過したものだった(ベライゾンジャパン合同会社調べ)
対策の優先順位を見極めて基本に立ち返り、取るべき対応を
「0.1%の未知の脆弱性に対して防ぐ準備も重要だが、大半が既知の脆弱性が悪用されている実態を正しく理解し、対策の優先順位の見直しや、パッチを迅速に漏れなく適用し続けてOSやアプリケーションを常に最新の状態にするなど、今一度基本に立ち返って取るべき対策を見直すことも重要」とCTCSPは指摘する。
例えば、各種アプリケーションの最新バージョンと実際のPCの状況を付き合わせ、セキュリティレベルと脆弱性を自動で診断する製品があり、強制的にアプリケーションのアップデートを実行するあるいは警告を出すことが可能な製品も存在する。最新の環境へ迅速に更新することができれば、統計上は脆弱性を突く攻撃の内、99%以上をカバーできる計算になる。これらの製品は非常にリーズナブルに提供されていることもメリットといえる。
また、従来型の実行ファイル型マルウェアに限定して振る舞い検知を実施する製品もあり、この製品も他エンドポイント製品と比べると非常に安価だ。「高額なセキュリティ対策製品を導入するのに比べ、こうした低コストの製品やサービスを活用することで、場合によっては10分の1以下にコストを圧縮することができるので効果的だ。特に中堅・中小企業などにお勧めできる」とCTCSPは推奨する。
CTCSPでは、入口対策、内部対策、エンドポイント対策、出口対策の各フェーズに対応したさまざまな標的型攻撃対策ポートフォリオを豊富に用意しているので、予算が少ない場合でもぜひ問い合わせいただきたい。きっと貴社に合ったベストプラクティス(最適解)が見つかるはずだ。
図3 CTCSPが提供する標的型攻撃対策のポートフォリオ