Next was Yesterday,TPP is now.
セキュリティ企業のエライ人になるのはラックの社長以来のこと。
僕がファイア・アイ社のCTOを引き受けた理由の一つは、世界中で起こっている標的型攻撃などの情報が手に入ると思ったからだ。
ファイア・アイ社のTPPは、契約によって顧客先で検知したマルウェアなどの脅威情報がクラウド上で各ユーザの機器で共有できるようになっている。
この脅威情報にはファイア・アイ社でも限られたメンバーしかアクセスすることはできない。個別の顧客で発生しているインシデントの情報でもあるので、アクセス制限はとても厳しくしているのだ。
そのような情報を業界や地域ごとにまとめることによって、たとえば、現在日本の製造業に対する攻撃や脅威の情報を得ることができ、顧客に対する注意喚起や攻撃への対応のアドバイスを行うことができる。
このコーナーで標的型攻撃などの最新の脅威情報や、対策のポイントなどについて紹介していければと思っている。
さて、あまりに普遍的な物言いでTPP、TPP、と書いてしまったが、TPPと言われても「??」と思う方も多いだろう。TPPといっても、今話題の環太平洋戦略的経済連携協定の方ではありません。なのでまず最初に、TPPについて解説しよう。
TPPとは、Threat Prevention Platformの略で、マルウェアなどの脅威を守るための複合的なシステムのこと。
これまでのセキュリティ機器は、IDS/IPSといったように、単体の機器を指すものがほとんどだった。しかし、標的型攻撃に使われるマルウェアなどに対しては、単一の機器だけでは守ることはできない。未知のマルウェアを防御できるとうたっているソフトウェアやセキュリティ機器も多くありけれど、そのどれもが一長一短の特徴を持っており、完全に防ぎきることは特定の条件下を除けば、非常に難しい。
特定の条件下というのは、たとえば、PC上で稼働するアプリケーションなどを完全にホワイトリスト化するとか、メールの添付ファイルを禁止し、Webサイトの閲覧も完全なホワイトリスト化するといった場合のこと。これは、みなさんもお察しの通り、著しい利便性の低下を伴うものであり、まったくおすすめできません。
また、最近よく見られる、振る舞い検知の技術は、誤検知、過検知との戦いであり、これだけで防ぎきるのは至難の業だ。
標的型攻撃などに使われるマルウェアは、パターンマッチングを主とするウイルスワクチンソフトでは検知されることはほとんどないと考えてよい。実際、僕が日常的に取り扱っている標的型攻撃に使われているマルウェアが、主要なウイルスワクチンソフトで検知されたことは、ほぼ、ない。だいたい、発見後パターンファイルが作成されて初めて検知が可能になる。
そして、標的型攻撃で必ず言われる「出口対策」。しかし、本当に守りたいのなら、「入口対策」だって「内部対策」だって行わなくてはならないのだ。こうした対策を複合的に組み合わせないと感染の防止、感染の早期検知などはできない。
この「出口対策」「入口対策」「内部対策」などを複合的に組み合わせた、脅威への対策のシステム構成をTPPという。
もっとも、こうしたTPPを取り入れる場合でも、「感染は防げない」という基本的な前提をもつことは必須だ。今でも、「ウイルスワクチンでウイルスは防げる」「ウイルスワクチンのパターンファイルを最新にしているし、パッチを出来るだけ迅速に適用しているから大丈夫」と信じている方が多いのだが、この考えでは現在の脅威は防げない。
前述のように、現在の脅威がパターンファイル主体のウイルスワクチンで検知されることはまれである。また、パッチについても、ゼロデイ攻撃と言われるパッチが配布される前の攻撃が珍しくなくなった今日では、パッチを迅速に適用したとしても、それまでの期間にマルウェアに感染していたりする。
もっとも、「従来型の防御システムや考え方では、新しい脅威は防げない」ということは数年前から言われてきていることなので、これを読んだみなさんも「何をいまさら」と思うだろう。
そして、その対策として「次世代ナントカカントカ」と銘打った製品やサービス、「新しい脅威に対応した…」いったうたい文句が市場におどるようになったのも、ご存じの通りである。しかし、みなさん、考えてもみてほしい、この「次世代なんちゃら」というコピーを、セキュリティ業界は何年も使い続けていないだろうか。
もはや、「次世代」とはすでに今現在のことであり、数年前に言われていた「次世代」はすでに過去のものである。すなわち「NEXT was YESTERDAY」なのであると、僕は思うのだ。
多くの企業や組織でマルウェアに感染しているものの気づいているケースは少ない、という現実からすると、TPPは今、今こそまさに必要な考え方なのだ。
コラム:出口対策の盲点
出口対策と一般に言われている手法として、プロキシサーバのログの監視が言われることが多いが、マルウェアの動作はこちらの防御システムなどに対応して、日々変化している。たとえば、ひとつのプロキシサーバのログの怪しい挙動として、海外の同一サーバに定期的に通信を行っている、というものがあるが、今では外部との通信に使われるC&Cサーバ(Command and Control)は日本のものが多く使われている。
世界における脅威情報の分析を行っていると、C&Cサーバの多くが日本でホストされていることがわかる。意外に思われるかもしれないが、これは我々がつかんでいる事実である。これは日本人が攻撃しているということを意味しているのではなく、日本が比較的信頼されているドメインであるから、と考えられるだろう。
また、同一のサーバへの繰り返しの通信そのものが行われることもあるが、都度サーバを変えてアクセスしているケースも見られる。さらに、通信の頻度もコントロールされているので、ある程度のしきい値で特定のサーバへのアクセス数をあぶり出そうとしても、ヒットしない可能性もある。
また、C&Cサーバはシャットダウンさせられることも多い。これは、各国のCERT機関に集められた情報から、該当国のサーバが対策されることが少なくないからである。しかし、中には長い期間同一のC&Cサーバが生き残っていることもある。
C&Cサーバがシャットダウンされた場合、アクセスに失敗したログがプロキシサーバなどに残ることになる。これが繰り返し残されるという特性に着目すれば、繰り返しアクセスの失敗があればC&Cサーバへのアクセスの試行をあぶり出すことが出来ることになる。
確かに、数年前までのマルウェアではそのような動作をしていたが、現在では、1回失敗した通信はあきらめて、他のC&Cサーバへのアクセスに切り替えるようになっていることが多い。従って、単純にアクセスの失敗のログを探すだけでは、見逃してしまうことも考えられる。
このようにマルウェアの挙動は進化を続けているので、プロキシサーバにおいてC&Cサーバとの通信を見つけられる、という考えに基づいた出口対策では十分にマルウェアの活動を検出することは出来ない。
出口対策というのはC&Cサーバとの通信を検出することを目的にされる場合が多いが、実際の市販のTPPソリューションではWebアクセスに特化したアプライアンス(TPPの一部)が多い。この場合、マルウェアに感染させられる元となるWebサイトへのPCからのアクセスから分析を自動で始める。
このようなWebサイトは待ち受け型、水飲み場型(Watering Hole Attack)となどと言われるもので、効率的に多くの感染PCを得られることから、標的型攻撃の初期段階で用いられることが多い。
