もう「感染は避けられない」とか言わない！VDIによるマルウェア対策のいま

セミナーやります↓
VDIによるマルウェア対策のゲームチェンジ！～「感染は避けられない」からの脱却～

意外と知られていない、ランサムウェアの被害

  ランサムウェアに感染してしまうと、ローカルディスクだけでなく、マウントしているNASなどのファイルサーバまで、すべてのファイルが暗号化されてしまう。しかし、情報漏えいではないため、報道発表などが行われることは極めてまれで、世間に知られることはほとんどないのだ。

　ランサムウェアの感染経路は、現在はWeb閲覧が多い。Flashなどの脆弱性が悪用され、ホームページを見ただけで感染してしまう。そのホームページは、ほとんどユーザが訪れることのないマイナーなものも多い。なぜなら、そういったホームページではセキュリティ対策が行われておらず、サーバにパッチなども適用されていないからだ。また、ホームページの見た目は変わっていないので、気づくことも遅れてしまう。そして、ウイルスワクチンでは検知できないことがほとんどなので、ユーザからの通報も遅れてしまう。

　マイナーなホームページだけでなく、メジャーなホームページでも感染してしまうことも実際に起きている。メジャーなホームページは、セキュリティ対策が進んでいるので、不正アクセスされて改ざんされる可能性は低い。しかし、そういうページではバナー広告から感染してしまうのだ。バナー広告は、広告代理店などが配信していて、そのコンテンツの一部がランサムウェアに感染する原因となる脆弱性をついたFlashコンテンツである場合があるのだ。

　また、ランサムウェアはメールでも感染する可能性があるので、防ぎきることが非常に難しい。標的型攻撃と同様に、根本的には、ホームページを見ない、メールを使わないことで対策となるが、これは非現実的である。

　ランサムウェアが広がりを見せているのは、実際に儲かってしまうことが根本にある。数百億円稼いでいるとの報道もあるくらいだ。犯罪は割に合わないというが、割に合ってしまう場合、モチベーションが非常に高くなり、守る側が不利になってしまう。

　標的型攻撃の場合、対策として入口対策、出口対策、内部対策と言われることが多い。入ってくるところでサンドボックスなどで見つける努力はするものの、防ぎきれないので、内部での感染活動を監視したり、情報の外部流出となる出口の監視を強化する、というものだ。

　監視はSOCという監視システムの構築と専門家による監視体制が必要となる。SIEMという高価で高性能な統合ログシステムが必要となる。SOCの設計、構築、運用には、セキュリティ専門会社による分析等が必要となり、数億円規模になることは珍しくない。

　また、SOCで監視・調査した結果なんらかの感染が検知された場合、インシデント対応として構築されたCSIRTによる迅速な対応が必要となる。特に出口での不審な通信を検知した場合、ただちに該当端末の隔離およびフォレンジック調査、感染経路の特定、流出情報の推測、内部感染の被害範囲調査など、高度で多岐にわたる作業が発生する。

　つまり、「感染は防げない」という前提に立つと、対応するためにはコストも労力もかかる。セキュリティ人材が不足している現在では、「無理ゲー」（クリアが非常に困難なゲーム）と言われることもある。

「感染は避けられない」からの脱却

　一方で、最近ではVDIを導入する組織が増えている。マイナンバーなどの特定個人情報を取り扱う場合、「感染が前提」は「漏洩が前提」という意味であり、それは「ありえない」ということになる。そこで、根本的な対策となるVDIが注目されているのだ。なぜ、VDIが根本的な対策になるのかというと、情報流出の経路となるWebアクセス(HTTP/HTTPS)をふさぐことができるからである。

　VDIはRDPなどを用いているので、実質的には画面転送となる。インターネット側に接続されているVDIサーバに対して組織内のPCからアクセスし、VDIサーバからWebアクセスさせるので、ガラス越しに外を見ていて、外気のウイルスや花粉は入ってこなくなる、というイメージとなる。

　VDIを用いてWebアクセスをするようにし、それまで使っていたプロキシサーバなどを使わないようにできるのだ。もちろんWindows Update他のパッチを適用したりするためのACLを追加したり、個別配布するようなシステムの変更が必要となるが、Webアクセスを悪用した情報流出はなくなる。

　先に述べたSOCで用いられるSIEMの多くのリソースがプロキシログの監視に費やされている。業務などでWebアクセスしている膨大なログの中から、いつ発生するかもしれないコールバック通信（マルウェアが通信するC&Cサーバへのアクセス）を探し出さなければいけないからだ。

　コールバック通信は、ブラックリストによって検出する方法があるが、頻繁に変更されるC&Cサーバはブラックリストで検知される可能性は低い。さらに、通信の振る舞いやパケットの特徴から検知する方法もあるが、検知される可能性は高くない。内部ネットワークのADサーバやパーソナルファイアウォール、PC操作ログなどのログと組み合わせて相関分析を行うSIEMを高度にチューニングし続けることで初めて検知が可能となる。

　ところが、Webアクセスそのものをパッチ適用その他の限定的なものに制限してしまえば、C&Cサーバとの通信はできないことになるので、情報流出の可能性は極めて低くすることができる。そのために、「漏洩する前提」ではなく「漏洩しない前提」となるVDIシステムに関心が高まっているのだ。

　ただし、VDIでも万全とはいえない。RDPを乗っ取るマルウェアが最近発見されているからだ。しかし、その場合、マルウェアができることは非常に限定的となる。

　そして、Webアクセスからの情報流出がなくなるのであれば、残る経路はメールである。メールはVDIにはあまりなじまないとされている。メールは添付ファイルがあるので、そのファイルを持ち込むことでマルウェアを持ち込むことになる可能性があるからだ。しかしながら、不審なメールは開いてしまえば不審であることがわかるので、それをわざわざ持ち込むことは少ないので、そのまま内部ネットワークにマルウェアが入り込む、という可能性は高くないだろう。

　従来のVDIシステムの一番の問題はコストであろう。VDIを使った場合、Windowsのライセンス費用が膨大になることが多い。例えば、1万人の企業では、初期コスト10億円、年間数億円を超えることも珍しくない。根本的な対策である一方、コストも大きな課題となっている。

　また、従来のVDIシステムの場合、ADサーバとの連携が求められることが多く、そのADサーバの構築・運用費用も負担となるうえに、そもそもそのADサーバがマルウェアの最大のターゲットになるために、ADサーバを守るための高度なセキュリティ対策が必要となってしまう。

　また、ベースとなるVDIサーバのOSにWindows Serverが用いられることが多く、その上で数百ものユーザが同時にログインするようなシステムが提案されることが多い。その場合、一人のユーザが感染して、他のユーザに被害が及ぶ可能性がある。ユーザ単位でのパーソナルファイアウォールであっても、OSそのものに権限昇格されてしまうと万全であるとは言えない。複数ユーザが同時ログオンしている環境であるために、そのWindows Serverそのもののパッチ適用も課題となる。パッチの適用が遅れたりする懸念もある。

　つまり、従来のVDIシステムでは、根本的な対策になり得る一方で、さまざまなセキュリティやコストの課題があるのだ。

マルウェア対策はVDIで

　そこで、S&Jでは、従来のVDIシステムより安全でコストが抑えられるシステム「S&J Secure VDI」(以下Secure VDI)を開発した。Secure VDIは、クラウドで提供され、かつゲストOSにLinuxを採用しているので、安全でローコストでVDIシステムを利用できる。Secure VDI は2016年1月から提供を開始し、サービスを紹介をするセミナーを開催することとした。

　VDIの普及によって、入口対策、出口対策は根本的に変わっていくであろう。Webアクセスを用いた情報流出の大きな出口がふさがれてしまえば、それ以外の出口や入口対策、内部対策に集中することができ、結果として現在よりも格段にセキュリティレベルが向上することになる。ぜひ、このセミナーで紹介するVDIサービスを聞いてもらいたい。