感染対策をすりぬける Gumblar のしくみGumblar は、昨年前半、メールを媒体として大きな被害を出しました。それが年末になって、再び感染を拡げたのはなぜでしょうか?そのしくみを確認してみましょう。 つまり、改ざんされた Web サイトを閲覧すると、閲覧者の PC がウイルスに感染し、その PC を使って管理している Web サイトの改ざんを通じて、さらに感染を拡げるのです。 このサイクルを断ち切るのが難しいといわれる理由には、次の 4 つがあげられます。 (1) 改ざんされた Web サイトの見た目に変化がない
Web サイト経由で感染させる脅威が増えている 昨年末、Gumblar によって社会的に信用の厚い有名企業のサイトが改ざんされたことで、一般メディアにも大きく取り上げられました。Web の改ざんは、その企業の社会的信頼にも大きく影響します。そして何よりもおそろしいのは、最終的に自社サイトが改ざんされ、閲覧してくださったお客様も感染させてしまう可能性があるという点です。 Gumblar による被害では、Web サイトに埋め込まれる不正なコードは巧妙に難読化されています。通常の Web 閲覧で利用されているのと同じ iflame や JavaScript などを利用して、悪意あるサイトに自動的に接続するようになっているのです。ユーザが閲覧前に改ざんを見極めることはほぼ不可能なうえ、Web サイトの各ファイル サイズやタイムスタンプを常時監視するといった改ざん防止・検知のしくみを導入していない企業では、サイトの管理者も改ざんに気付きにくくなっていました。 (2) アンチウイルス ソフトが検知できない過去に多くのウイルスがメールを媒体として広がっていきました。しかし最近は Web サイトを利用してユーザの PC を感染させるものが増えています。 ウイルスファイルそのものを配布するのではなく、悪意あるサイトからダウンロードさせるわけですから、攻撃者はダウンロードさせる不正ファイルや不正プログラムを、Web サーバ側で意のままに差し替えることができます。これによって、少量多品種のウイルスの亜種を容易に、かつ効率的に配布することができるようになっています。その結果、アンチウイルスソフトでの対応が間に合わないうちに感染してしまうリスクが高まっています。 (3) アプリケーションの脆弱性を利用しているGumblar では、Adobe Acrobat などのアプリケーションの脆弱性を利用してウイルスを感染させるようになっていました。Windows や社内で標準としてインストールしているソフトウェアであれば自動アップデートの機能もあるでしょうが、Web ブラウザのプラグインやアプリケーションなどは、ユーザ自身でアップデートを実施しなければならない場合が多く、脆弱性が放置されたままになっていることも少なくありません。 (4) 正規の方法で Web サイトを改ざんしているGumblar によってウイルス感染した後のウイルスの活動の 1 つとして、FTP のアクセス情報を外部に送信します。感染した PC の FTP 通信情報から ID とパスワードを盗んだり、PC に保管されている FTP 情報を盗むこともあります。そして、その FTP 情報を使って Web サーバにアクセスして Web サイトを書き換えているのです。この場合、Web サーバには正規の方法でアクセスしているのですから、Web サーバへの不正アクセス対策として一般的に利用される IDS/IPS のような仕組みでは、このアクセスを止めることは非常に困難です。 このように、Gumblar の攻撃のしくみに対して、従来と同じ考え方だけでは対抗が難しいのが実情です。うちはウイルス対策を取っているから大丈夫、と思っていても、気付いたときには社内に感染が拡大している可能性があります。また、Gumblar は通信の盗聴によって FTP アクセス情報を盗みました。今後、同じしくみで e コマース サイトへのアクセス情報、あるいはクレジットカード番号を取り出すようなウイルスに発展させることは技術的には容易であり、更なる被害につながる可能性もあります。Web サイトの改ざんの被害によって、このような犯罪行為に加担してしまわないようにしなければなりません。 Gumblar に対して考えられる対策とは?では、Gumblar にはどのように対抗すればよいのでしょうか? 現時点で企業が取るべきだと考えられる対策は以下のようなものです。
対策 1 〜 3 は、それほどお金をかけなくても手間さえかければすぐにでも実施できる対策です。セキュリティ担当者は早急な実施を検討しましょう。 脆弱性への根本的な対策という意味では、対策 4 は効果的です。社内のクライアントが利用しているソフトウェアの最新化は、メールや社内の掲示板を使って一斉に呼びかけたりすれば、一時的には実施が可能でしょう。ただ、継続的な実施となると、社内で利用されている全ソフトウェアを把握し、そのパッチ情報や最新版を常にチェックして、個々のユーザの最新化作業を徹底する、といった、非常にハードルの高い対策となってしまいます。 そこで効果的なのが対策 5 です。「Web 経由での感染」をネットワーク側で一括して防ぐことができれば、Gumblar の主要な感染経路を断ち切ることができ、かつ個々のユーザの PC で個別に行うよりも効率的な対策が可能です。 対策 6 は、例えば Web の制作、運営を外部委託しているようなケースでも、委託先のセキュリティ対策について契約面で明確にすることはもちろん、一歩踏み込んで実際のセキュリティ対策状況を提示してもらってチェックする、といったことも今後は検討していく必要があります。 万が一クライアントが感染したとしても、対策 7 によってネットワーク側でいち早く検知すれば、被害の拡大を防ぎ、感染後の ID/ パスワード等の情報漏えいを防ぐことが可能になります。 悪意のあるサイトを自動識別して接続を遮断Gumblar が利用する Web 経由での感染モデルでは、改ざんされたサイトと知らずに閲覧した場合、ユーザが気付かない間に悪意のあるサイトに接続してしまいます。そのため、Gumblar の感染源となるサーバへの接続をブロックすることが感染防止のためには非常に有効です。しかし実際には、さまざまなドメインを装ったり、リダイレクトを何度も繰り返した上で感染源となるサーバへ接続させたりして、単純なフィルタリングでは対策が困難になっています。 
Cisco IronPort S660 - Web セキュリティアプライアンス そこで、接続先のセキュリティ的な信頼度を評価して「あやしいサイト」を見つけるソリューションが生まれました。それが、「Web レピュテーション」と呼ばれる技術です。この Web レピュテーションを利用して「あやしいサイト」への接続を制御する機能を実現しているのが、Cisco IronPort の Web セキュリティ アプライアンス(WSA)です。 全世界のサイトを格付けする Web レピュテーション機能WSA には、ネットワークの規模により Cisco IronPort S660、S360、S160 の各モデルが用意されています。いずれも、高性能 Web プロキシ/キャッシュ、L4 トラフィックモニタ、HTTPS 暗号化、URL フィルタリング、アンチマルウェアといった Web セキュリティ機能を何層にも組み合わせて搭載し、さまざまな Web ベースの脅威への防御を提供しています。その中でも Gumblar 型の新たな脅威への対策として有効なのが、 Web レピュテーションによるフィルタリングです。 Web レピュテーションとは、全世界の Web サイトに対する格付け情報を指します。WSA は、この情報を格納した SensorBase というデータベースのスコア情報を使うことで、疑わしいサイトへのアクセスをブロックすることができます。 シスコの Web レピュテーションは、SensorBaseが多様な情報ソースから IP アドレス、URL の管理者、ドメインオーナーの業種など 200 以上の細かいパラメータを取得して -10 から +10 まで 0.1 単位でスコアリングしており、URL フィルタの脅威カテゴリーや、単なるブラックリストやセーフリストとは異なる総合的な指標として参照することができます。たとえば、一時的に誤ってブラックリスト等に掲載されてしまったというような場合にも、シスコのレピュテーションでは他の基準と総合した上で判断されるため、急激にスコアが下がることはありません。スコアは 3 〜 5 分間隔で自動的に更新され、常に最新の格付け情報が WSA に反映されます。 
※画像をクリックすると、大きな画面で表示されます また、段階的な格付けとなっているため、スコアが高ければアクセスを許可する、低ければブロックする、というだけに留まらず、疑わしいスコアのサイトにはアンチウイルスエンジンでトラフィックをスキャンし、問題がなければアクセスを許可するようなポリシーを設定することも可能です。2005 年以降、Web 2.0 の普及に従い、全世界の Web コンテンツは急激に増加しています。URL フィルタのベンダーがカテゴリー分類できている Web サイトは現状で 20% 程度であり、2015 年までには 95% が分類外のサイトとなると予想されています。既存の URL フィルタリングでは排除できないグレーゾーンの Web サイトに対しても、シスコのレピュテーションであれば、段階的かつ総合的に対応することができます。 
iPhone 向け無料セキュリティアプリケーション「Cisco SIO To Go 」 同様の格付けを行っている製品は他にもありますが、シスコの Web レピュテーションの特徴は、業界で初めてレピュテーション サービスを開始し、同業他社よりも経験を豊富に持つ点と、その高い信頼性にあります。ネットワークのリーディング カンパニーであるシスコは、自社製品を導入されたお客様の協力に基づき、70 万台以上のセキュリティデバイスから収集された情報によって、全世界を流れる Web とメールのトラフィックの 30% 以上を監視したうえでレピュテーション スコアを割り出しています。レピュテーション スコアを生成する際の詳細や更新頻度を公開しているベンダーは数少ない中、シスコは自社の情報収集規模やレピュテーション情報を Security Intelligence Operations(SIO) で公開しています。iPhone でこの情報を参照するクライアントの提供を行っていることからも、自社のレピュテーションに対して絶対の自信を持っていることがわかるでしょう。 
シスコのレピュテーションでは 2009 年 5 月の時点で gumblar.cn に低いスコアをつけていた 実際、Gumblar によって当初自動的に接続させられていた、ウイルス名の元にもなった悪意のある Web サイト gumblar.cn について、ほとんどのセキュリティベンダーの URL フィルタ情報で「問題なし」とされていた2009年5月の時点で、シスコのレピュテーションでは -8.29 という非常に低いスコアを記録していました。このスコアは、WSA のデフォルトの設定でアクセスがブロックされるレベルです。 このように、総合的な判断に基づきネットワークレベルで防御するシスコの WSA でなら、今後増加することが予想される Web サイトを利用した新しい脅威に対しても、対策することが可能なのです。 外部への不審な通信を検知、防御する Cisco IPS
Cisco IPS (侵入防御システム) 万が一社内の PC が感染してしまった場合でも、その感染をいち早く検知し、感染後に行われる外部への不正な情報送信を遮断することができれば、被害を最小限に抑えることができます。それを実現するのが Cisco IPS (Intrusion Prevention System)です。 Cisco IPS は、ネットワークへの攻撃、ワーム、ウイルス、スパイウェアが行う不正な通信、許可されていない P2P ソフトなどの悪意ある通信などを正確に識別、分類、遮断することで、ネットワーク全体のセキュリティを強化します。Gumblar の例では、感染後に外部に情報を送信する際の通信データに含まれている特長的な文字列を検知することで社内での感染を発見し、その通信を遮断することで情報の漏えいを防ぐことができます。 Cisco の MSSP パートナーである株式会社ラック(http://www.lac.co.jp)が提供しているセキュリティ監視サービスでは、実際に IPS を使ってネットワークで発生している不正な通信をリアルタイムで検知、分析することで、Gumblar やその他の様々なセキュリティの脅威から顧客企業を保護しています。Gumblar については、独自のシグネチャを作成することで検知精度を向上させ、企業内での感染活動の活発化をいち早く検知していました。またその情報をセキュリティ アラートとして広く外部に公開するなど、積極的に注意喚起も行っています。 Cisco IPS はネットワークの規模により、各種モデルを用意しています。詳しくは Cisco IPS の製品ページ をご覧ください。 いまなら WSA 評価機無料貸出を実施中
|
||||||||||||||||||||||||||||||||||||||||
 |
||||||||||||||||||||||||||||||||||||||||
