高度サイバー攻撃とその対策
時間をかけて取り組めば、現実的なアイデアを形にする手段は見つかるものであり、そういった努力の成果として、イノベーションや進歩が成し遂げられます。アイデアから始めて探求を重ね、発展させるには、創造力が必要ですが、その過程で時間やリソースを投資したとしても、最終的にはいずれかの段階で報われるものです。これは、善意と悪意のどちらにも言えることですが、良いアイデアからは素晴らしく楽しい結果が得られ、悪いアイデアからは(少なくとも良い側の視点で言えば)望ましくない結果が得られる傾向があります。
サイバーセキュリティに当てはめて考えてみると、どのようなことが言えるのでしょうか。
「基本的な」タイプのサイバー攻撃、すなわち、ウイルス、マルウェア、ネットワーク攻撃について解説した前回の記事では、PUP(Potentially Unwanted Program、不要なプログラム)について説明し、攻撃のシグネチャによって攻撃を一意に追跡できるという事実についてもご紹介しました。ウォッチガードの GAV(ゲートウェイアンチウイルス)と IPS(不正侵入防御サービス)は、これらの標準的な攻撃からの保護を可能にします。
前回の記事の内容を踏まえ、今回は、より高度な攻撃の方法、すなわち、APT(Advanced Persistent Threat)とゼロデイマルウェアへと話を進めることにしましょう。これらの攻撃は、古くからあるシグネチャではなく、ファイルそのものに基づく MD5 ハッシュを使用します。シグネチャを一意に追跡するのと同様、ハッシュの場合も、高度な攻撃を追跡する手掛かりになります。ウォッチガードは、Lastline のハッシュデータベースとエミュレーションラボを採用した、APT Blocker を提供しています。
追跡とブロックという点で基本的な攻撃と何が異なるかと疑問に思われた方がいらっしゃるとしたら、それはとても良い着眼点です。APT Blocker にあって GAV や IPS にないのは、エミュレーションラボです。GAV や IPS が既知のエクスプロイトを前提にしていることを考えると、未知の攻撃(ゼロデイマルウェアとして知られている)や標的型 APT 攻撃がこれらのサービスで検知されることは期待できません。これらの高度な攻撃を確実に分析し、追跡するには、制御された環境でどのように活動するかを観察するしかなく、それを可能にするのが、サンドボックスとハニーポット/ネットです。
覚えておかなければならないのは、すべての攻撃を 100% の精度で完全にブロックするのは極めて困難でほとんど非現実的だということであり、そこで次に必要となるのが、「階層型セキュリティ」アプローチです。このアプローチでは、形の異なる複数のセキュリティの層、すなわち、GAV、IPS、APT Blocker、ホストやネットワークのファイアウォールなどを活用することで、さまざまな形の攻撃からの最大限の保護を可能にします。
これをバックアップする手段として、RED(Reputation Enabled Defense)、ボットネット検知、ジオロケーション、DNSWatch、TDR(脅威の検知と自動レスポンス)などのサービスを利用することができます。
RED は、一言で言えば、さまざまなアンチマルウェアベンダのインテリジェンスを利用し、ユーザやリダイレクトで要求される URL をクロスチェックします。これは、不正あるいは悪意の可能性がある Web サイトを特定するという点で、効果的な方法です。RED には、ボットネット検知が統合されているため、既知のボットネット IP アドレスは自動的にブロックされます。ボットネットとは、犯罪者が世界中のネットワークに存在する感染ホストとの通信に使用する、中央コマンド & コントロールサーバのことです。DNSWatch は、ローカルホストからの DNS 要求を評価し、接続試行を却下することができます。
これ以外に、TDR というサービスもあります。仮に、何らかの攻撃が上記のサービスをすべて突破してネットワークホストに侵入を果たしたとします。そのような状況でも、TDR がホストをリアルタイムで分析し、ヒューリスティックとフォレンジックを活用して、潜在的な攻撃を特定します。ホストに設置されたセンサが、ホストのファイル、プロセス、ネットワーク接続、レジストリキーに関する情報を収集します。そして、最後にご紹介する機能は、ジオロケーションです。名前から分かるように、このサービスを利用することで、特定の国の IP アドレスとの通信を制限できます。これは、アクセスを国によってブロックする有効な方法であり、ビジネスの相手先である国との間だけに接続を許可することができます。
ウォッチガードはこれ以外にも、ネットワーク活動をさらに厳密に制限できる 3 つのサービスを提供しています。上記のサービスやこの記事でご紹介していないサービスの詳細については、こちらのリンクを参照してください。
一言で言えば、ネットワークセキュリティに「万能型」アプローチは存在しません。1 つのアプローチしか採用せずにそこを突破されてしまうと、それ以降のセキュリティ対策でできることはそれほどありません。このような状況で役に立つのが多層型アプローチであり、それは、1 つの層が突破されてしまったとしても、別の層で脅威を検知できるからです。