総務省では2014年5月、「政府機関の情報セキュリティ対策のための統一基準」を発表した。その一部には「標的型攻撃対策」が明記され、次のポイントが「順守事項」となった。
入口対策
内部対策
これら事項は政府機関のみならず、全ての組織に求められるものだ。今回の技術は、まさにこれら基準に適合することを目標に開発された。
チョークポイント監視は、既存の標的型対策に新しい機能を追加し、多層防護をさらに厚くするものだ。一部の既存ツールは置き換えが可能かもしれない。クライアントやサーバにエージェントを必要とすることもなく利用でき、例えば振る舞い検知型アンチウイルスの導入が難しい組み込み系機器(POSレジやプリンタなど)にも適用できる点も従来のツールと大きく違うところだ。
既に商品化が進んでおり、PFUから「iNetSec Intra Wall」として発売される予定だ。今回の技術の他、総務省の「サイバー攻撃の解析・検知に関する研究開発」事業の成果として生まれた「利用者行動特性分析技術」も取り込まれ、検知精度と業務通信の誤検知の可能性を低減するという。
悪意あるプログラムやコードの総称。感染力(自分自身を複製して拡散する)のあるウイルス、感染力のないトロイの木馬など各種スパイウェア、オフィスソフトの文書に盛り込まれるマクロウイルス、Webサイトに仕込まれる不正コード、その他さまざまな種類がある。
RAT(Remote Access Trojan)はトロイの木馬の一種で遠隔操作を目的としたマルウェアのことだ。標的型攻撃に多用されるため、近年特に注意すべきマルウェアとなっている。なお、特に必要のない場合はマルウェア全般を一般に浸透している「ウイルス」と呼ぶことが多い。本サイトでもそれにならった。
「チョークポイント監視」との関連は?
富士通研究所ではRATの検体を集め、その活動のパターンを詳細に調べた。特に通信に着目し、内容と順番との相関関係を明らかにして、RATがどのような手口を使おうとも共通して使わざるを得ない通信の特徴を割り出し、チョークポイントとして抽出することに成功した。そのチョークポイントを「特定領域判定」と「絞込み判定」という新技術で監視し、高速なマルウェア検知を実現した。
組織内部のPCへのウイルス感染を発端とし、ネットワークにつながる周辺のシステムへと侵入を深めながら、情報収集と外部送信、あるいはシステムの改ざんなどを行う攻撃のこと。
攻撃の発端が、対象企業や個人の知人、取引先、公的機関などを送信元と詐称する攻撃メールであることが多いため「標的型」と呼ばれる。また、一度内部にRATが仕込まれると、システム情報を入手した攻撃者はさらに侵入を深めるために、対象システムに特化したウイルス配布などの手口を使うことがある。現在のセキュリティ対策でなかなか防ぎきれず、社会問題化している。
「チョークポイント監視」との関連は?
標的型攻撃は、組織内システムとのゲートウェイでは防ぎきれず、PCのウイルス対策ソフトでも検知できないことがある。チョークポイント監視では、正常な業務用通信と攻撃用の通信とを正確に弁別できるため、攻撃者が仕込んでネットワーク内部で潜伏活動するマルウェアの通信が発見可能とされる。感染は防げなくとも、被害を出さない対策として価値がある。
IPS(不正侵入防御システム)は、不正侵入を発見して通信を遮断する機能をもつツールで、IDS(不正侵入検知システム)は、不正侵入を検知して通知するツールのこと。組織ネットワークへの外部からの不正アクセス防止のために用いられてきた。
検知方式は、不正アクセスのルールやパターンなどを登録した「シグネチャ」と、ネットワークを通るパケットの照合を利用する。中には、平常の通信状態をベースに、そこからの逸脱を検知するアノーマリー検知技術を利用するものもある。
標的型攻撃に対しても有効で、ゲートウェイのみならず、ネットワークセグメント個別に設置して内部通信も監視する組織も増えている。
「チョークポイント監視」との関連は?
IPS、IDSを内部に設置して周到に対策しても、RATの潜伏活動は一般的な業務通信と見分けがつかず、シグネチャとの照合による検知や異常検知が役に立たない場合がある。そのため、内部で侵入範囲の拡大を防ぐのが難しい。
チョークポイント監視では、大量の通信を相互に突き合わせて関係性を調べ、RAT活動に共通する通信活動が行われているかどうかを検知できる。検知次第にPCの切り離しや初期化などの対処を行えば、内部での侵入拡大を防げる。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。