テクノロジー解説

ターゲット型攻撃(APT)への対策

近年、情報セキュリティに対する脅威の動向は大きく変化しています。従来のパソコンやサーバ コンピュータに加えて、モバイル デバイスやクラウドがビジネスの現場で利用されるようになっています。また、クラウドやソーシャル ネットワークの企業利用なども普及するにつれて、これらに伴うセキュリティ リスクについての対策が必要となっています。さらに、一般向けの新聞紙面やテレビのニュースでさえも頻繁に目にする「サイバー攻撃」も、不特定多数を狙う攻撃よりも、特定の企業や組織の機密情報流出・業務妨害を狙う攻撃が増えています。

このような特定のターゲットに対する攻撃手法として話題となっているのが「Advanced Persistent Threat(APT)」攻撃です。このタイプの攻撃は、企業や組織内に侵入して長期間潜伏(persistent)し、様々な手法を組み合わせて巧みにスパイ行為や妨害行為を行うのが特徴です。内部のユーザが能動的に攻撃サーバにアクセスしてしまうこともあり、ファイアウォールやURL フィルタリングなどの従来のセキュリティ対策では防御が難しく、新たな視点でのセキュリティ対策が必要になります。

今回のテクノロジー解説では、APT 攻撃の概要を解説するとともに、その対策としてシスコがどのようなソリューションを提供しているかを紹介します。

APT 攻撃の主な手法

独立行政法人 情報処理推進機構(IPA)は、『2011 年版 10 大脅威 進化する攻撃...その対策で十分ですか?』の中で、「ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャル エンジニアリングにより特定企業や個人を狙った攻撃の総称」として APT 攻撃を紹介し、これを「新しいタイプの攻撃」と定義しています。APT 攻撃は一般に、侵入、進化、攻撃という 3 つの段階を踏んで行われます。

第一段階:侵入
攻撃者がソーシャル エンジニアリングを利用してマルウェアを企業内部に送り込みます。

「侵入」の手口には、次のようなものがあります。

  • ターゲット型スパムによる侵入
    標的となった人物(ターゲット)に合わせてカスタマイズされた、有名企業あるいは得意先や知人からのメールを装ったメールが送られます。当然、企業や組織ではセキュリティ対策の一部としてアンチウイルスやアンチスパムを導入済みですが、新しいパターンのスパムを検出することができずに、ターゲットとなった人物に届くことがあります。受け取った側では、スパム メールとは気付かず、疑うことなくメールを開いてしまう可能性が高く、添付されていたマルウェアに感染、あるいはメールに埋め込まれたリンクをクリックすることで感染します。

  • “見えない Web”を使った侵入
    Web ページのなかには、ブラウザのアドレスバーに表示されている URL 以外の場所にあるコンテンツを表示しているものもあります。いわゆる「マッシュアップ」と呼ばれるもので、たとえば新聞社のサイトなどにある広告バナーの多くは、広告配信に特化したサーバから送られてくる情報を表示しています。
    あるいは、ページを改ざんしてiframe を使って悪意のあるサーバへの接続を促すこともあります。一般的な URL フィルタリングでは、このような Web ページに埋め込まれたリンクについては検査しません。攻撃者はこれを悪用し、広告のように偽造したコンテンツを埋め込み、クリックしたユーザの PC に、ゼロデイ特性を持つマルウェアをダウンロードさせます。

  • USB などのメディアを経由した侵入
    たとえば自宅で使っていた USB メモリにマルウェアに感染し、それを会社に持ち込んだために企業内に入り込むことがあります。ローカルでの感染なので、ネットワーク システムでは防ぐことができません。

第二段階:進化
感染した PC は、攻撃者に乗っ取られた「ボット」となり、企業内部から外部への Web アクセスを装って攻撃者のサーバに接続させます。内部からの HTTP 接続リクエストに対する返信は、ファイアウォールを通り抜けてリクエスト元に届きます。そして、攻撃者のサイトと通信することによって、マルウェアは追加プログラムのダウンロードなどを行いながら、機能を強化してきます。
このようにマルウェアは、潜伏しながら攻撃のタイミングを待ちます。

第三段階:攻撃
準備が整い、攻撃者から「機密情報を盗み出せ」といった指令を受け取ると、企業内部で集めた機密情報を外部に送信するなどの攻撃活動を行います。

ターゲット型スパムによる攻撃の例

このページのコンテンツには、Adobe Flash Player の最新バージョンが必要です。

Adobe Flash Player を取得

新しい「入口対策」

セキュリティの脅威から企業あるいは組織のネットワークを守る第一の対策は、スパム メールやマルウェアの侵入を防ぐことです。これを「入口対策」と言います。アンチウイルスやアンチスパムなどを使って悪意のあるメールを隔離したり、URL フィルタリングを使って不正なサイトにアクセスさせないようにするのも、入口対策として非常に有効です。ただし、これらのセキュリティ ソリューションは攻撃パターンを基に検知しているため、パターン更新がゼロデイ攻撃に追いつかないこともあります。

そこで、新しい入口対策として利用されているのが、アクセスしようとしているサーバや受け取った電子メールが信頼性を「レピュテーション」(評価)情報に基づいて判断する方法です。レピュテーション技術はすでに多くのセキュリティ ソフトウェアに採用されていますが、新たに発生した攻撃にも対処するには、このレピュテーション情報が網羅的で、最新であることが重要です。

シスコでは、Cisco SIO(Security Intelligence Operations)というサービスを運営し、そのなかでレピュテーション スコアを提供しています。Cisco SIO は、全世界のお客様に導入されている 70 万台以上のシスコ製セキュリティ デバイスおよびサービスを通して情報を収集し、IP アドレス格付けデータベース(Cisco SensorBase)を常時更新しています。この格付け(レピュテーション スコア)は、ブラックリスト掲載の有無やドメイン登録されてからの期間(長ければ信頼できると判断しやすい)などの 200 を超えるパラメータに基づいて自動的に、-10.0〜+10.0 の 200 段階で決定されます。さらに、約 500 名のエンジニアが、収集された情報に対して 24 時間体制で脅威の解析を行っています(Cisco Threat Operations Center)。新しい脅威が検出されたときは、稼働中のシスコ製セキュリティ デバイスに、ほぼリアルタイムといえるスピードで対策が反映されます。Cisco SIO は、全世界のトラフィックの 35% をサンプリングするなど、監視の規模は他社を大きく上回っており、世界最大規模のレピュテーション データ サービスといえます。豊富なデータの裏付けは、正確な格付けにつながり、したがって危険なサイトの正確な見極めが可能になります。

「出口対策」の重要性

ATP 攻撃では、入口対策をすり抜けてしまったターゲット型スパムによってユーザの PC がマルウェアに感染すると、潜伏したマルウェアは、ユーザの能動的な行為であるかのように悪意のあるサーバにアクセスします。このようなソーシャル エンジニアリングを利用した攻撃が増え、その手法もますます巧妙になっているため、組織内のユーザの PC やサーバが感染した場合にも、情報漏えいやボットとしての役割を担うことがないような対策が必要になっています。このように潜伏しているマルウェアの挙動を防止することを「出口対策」と言います。

たとえば、ATP 攻撃の場合、マルウェアは潜伏中に攻撃用サーバとの間で通信(Phone home)を行います。感染した PC からボットネットへの通信を遮断すれば、社内の機密情報流出などの被害は防止できます。さらに攻撃者によって“バックドア”が作られた場合にはバックドアを経由する不正アクセスを防止することで、情報の流出を遮断しなければなりません。

シスコには、Cisco ASA(Adaptive Security Appliance)、Cisco IPS(侵入防御システム)、Cisco IronPort WSA(Web Security Appliance)、Cisco IronPort ESA(Email Security Appliance)などのアプライアンスのほか、Cisco ISR(サービス統合型ルータ)にもセキュリティ機能が組み込まれています。これらのセキュリティ製品や Cisco SIO に代表されるサービスが、セキュリティ アーキテクチャ Cisco SecureX の一部としてそれぞれの機能を提供し、連携して包括的な防御を実現します。たとえば Cisco IronPort E メール セキュリティ アプライアンス(Cisco ESA)は、攻撃の糸口となるスパム メールを検出してブロックします。スパム メール経由での侵入を防止する「入口対策」として、このスパム検出にも Cisco SIO で提供されるレピュテーション情報が活用されています。さらに、「入口対策」だけでなく、潜伏中のマルウェアの挙動を防止する「出口対策」としても有効なのが、Cisco IronPort Web セキュリティ アプライアンス(Cisco WSA)です。

「出口対策」の重要性

※画像をクリックすると、大きな画面で表示されますpopup_icon

Cisco IronPort WSA の機能について、以下に解説します。

Cisco IronPort Web セキュリティ アプライアンス(WSA)

Cisco IronPort Web セキュリティ アプライアンス(WSA)は、企業と外部サーバとのすべての Web トラフィックを監視して危険なサイトへのアクセスをブロックします。その他にも Web セキュリティを維持するうえで必要となるさまざまな機能を備えており、下図でファイアウォールとユーザとの間に配置された Web アクセスに関わる 複数のセキュリティ製品の機能を集約して WSA に置き換えることもできます。

Cisco IronPort Web セキュリティ アプライアンス(WSA)

Cisco IronPort WSA は、ユーザがアクセスしようとしている Web サイトが安全かどうかを見分けて、不正サーバへの接続をブロックします。このような機能は「URL フィルタリング」と呼ばれますが、世界中の Web サーバのうち、企業が管理していることが明確になっているものはわずか 20% と言われています。残りの 80% は、個人が所有しているサーバや一般には公開していないサーバ、あるいはボットネットを構成していたり、ダイナミックに IP アドレスが変わるようなダイナミックなサーバです。このような状況では、不正サーバについてもダイナミックな情報が必要となります。そこで Cisco IronPort WSA では、Cisco SIO が提供するレピュテーション情報に基づいて、接続先サーバを評価します。これにより、最新情報に基づくフィルタリングが可能になります。

このページのコンテンツには、Adobe Flash Player の最新バージョンが必要です。

Adobe Flash Player を取得

「“見えない Web”を使った侵入」に対しても、WSA ならば検出は可能です。一般的な URL フィルタリングで「安全」と判断されたサイトのページに配信される広告にマルウェアが潜んでいるような場合も、WSA はそのマルウェアからの通信も監視して、攻撃者のサイトへのトラフィックをブロックします。このような発見的防御は、Cisco WSA の「L4 トラフィック モニタリング(L4TM)」という機能によって行われます。これは、シスコ製機器(スイッチなど)を通過する HTTP、TCP、UDP の全トラフィックを SPAN(Switched Port Analyzer)ポートから受け取って、その宛先 IP アドレスが危険と判断された場合は RSET パケットで通信自体をブロックするという機能です。オプションとして通信をブロックせずに監視(ログ保存)することも可能です。

Cisco IronPort WSA は、Web 経由でのマルウェア感染を防ぐ(入口対策)だけではなく、マルウェアの侵入を許してしまった場合に情報の流出を防ぐ「出口対策」にも効果を発揮します。マルウェアが通信しようとしている IP アドレスが危険なサイトのものである場合は、WSA がそのトラフィックを遮断します。攻撃者によって“バックドア”が作られても、バックドアを経由する不正アクセスをシスコの侵入防御システム(Cisco IPS)製品が検知して防止します。

このページのコンテンツには、Adobe Flash Player の最新バージョンが必要です。

Adobe Flash Player を取得

WSA は豊富なレポート機能も備えており、各クライアントの Web アクセスやマルウェア感染などの状況を一覧表示することができます。急に特定の IP アドレスへのトラフィックが増加したような場合は、それが攻撃の発生を示していることもあります。脅威の「見える化」によって、現在何が起きているかがわかるので、特に大規模な組織の場合に役に立ちます。

Web 経由での情報は、個人だけでなくビジネスにも欠かせなくなっています。Web セキュリティは、今後の企業セキュリティ対策にも、ますます重要な役割を果たしていきます。

お問い合わせ