既存の対策では防ぎきれなくなってきた近年のサイバー犯罪
川原氏は冒頭、近年ますます進化のスピードを早めるサイバー攻撃の手口について、次のように警鐘を鳴らした。
「ここ数年、様々なサイバーセキュリティ事件が報道されていますが、事件が発生した企業は既存のセキュリティ対策を怠っていたわけではありません。むしろ攻撃側の手口が極めて巧妙化、高度化した結果、もはや既存のセキュリティ対策では守りきれなくなってきているのが実状です」
株式会社FFRI 執行役員 事業推進本部長 プロダクトソリューション部長 川原 一郎氏
その背景として同氏は、マルウェアを作成するツールがブラックマーケットで販売されていたり、サイバー攻撃用のインフラを提供する事業者が存在していたり、さらにはここに犯罪組織も絡んで三位一体のエコシステムのようになっている。つまりサイバー犯罪はビジネスとして成り立つ産業と化していると指摘する。
なお、IPAが2017年1月に発表した「情報セキュリティ10大脅威 2017」によれば、相変わらず被害が後を絶たない標的型攻撃の脅威に加えて、ランサムウェアやバンキングマルウェアといった、いわゆる「無差別型攻撃」による被害も拡大している。最近の例でいえば、世界中であっという間に感染が広がったランサムウェア「WannaCry」の被害が記憶に新しい。
「ランサムウェアやバンキングマルウェアによる無差別型攻撃は、メールを悪用するケースが多いですが、近年の無差別型攻撃メールはかつてのように『一目見てすぐ怪しいと分かるもの』だけではなく、文面や送信元が巧妙に偽装されており、一見しただけでは怪しいメールにはとても見えないものも増えています。またメールに添付するファイルも、実行形式のマルウェアだけでは無くマクロやスクリプトなども使い、既存の対策を巧妙にすり抜けてきます」(川原氏)
キーワードは「エンドポイント」と「未知の脅威」
一方、特定の企業や組織にターゲットを絞って情報を窃取する標的型攻撃の手口も、近年一段と高度化・巧妙化しつつある。すぐに感染したことが分かる無差別型攻撃とは異なり、ほとんどの標的型攻撃はメールを突破口にターゲットのネットワークへ侵入した後、じっくり時間をかけて何段階かの攻撃ステップを経て、最終的に情報を不正に持ち出す。
従って標的型攻撃の被害を防ぐ上では、それぞれの攻撃ステップに対して対策を施し、何層にも渡って防御壁を築き上げる「多層防御」が有効であるといわれている。しかし一方で、多層防御を実践するには多くの手間やコストが掛かり、必ずしもすべての企業・組織にとって現実的な解だとはいえない。そこで川原氏が推奨するのが、「エンドポイント対策の強化」だ。
「複数ある対策ポイントのうち、どれに対して優先的にリソースを投入するのか、そのプライオリティ付けが重要になってきます。ゲートウェイで攻撃を可視化するソリューションを導入した場合は、攻撃を可視化できるメリットはあるものの、実際に被害を受けてしまう事が想定され、インシデント対応のコストが高くなってしまいます。その点エンドポイントでの防御は、脆弱性攻撃やマルウェアの侵入、マルウェアのふるまいを検知してその場で防御できるため、それ以降の被害を防ぐことができます」
現在各方面で、標的型攻撃や無差別型攻撃を防ぐ手段としてのエンドポイント対策の有効性がクローズアップされているという。例えば、自由民主党 政務調査会 IT戦略特命委員会がまとめたレポート「最新テクノロジーの社会実装による世界最先端IT国家の実現に向けた提言 デジタル・ニッポン2016~まず、やってみよう~」では、国家的なサイバー/IoTセキュリティ対策の強化策の1つとして、「標的型攻撃などの新たな脅威に対しては、防御を目的としたエンドポイントで完結できるパターンファイルに依存しない振る舞い検知型の対策技術の導入・運用を推進すべき」と提言している。
また、日本年金機構の個人情報漏えい事故においては、侵入してきたマルウェアやマルウェアが行った通信先への通信を止めるような「後追い」の対策となってしまい、最終的には未知の攻撃による被害を防ぎきることができなかった。
「現実世界の犯罪に例えれば、既に指名手配されている犯人を取り締まるだけでは、指名手配されていない者による犯罪は決して防げません。そうした犯罪に対しては、犯罪が行われたその瞬間をとらえて現行犯逮捕するしかありません。サイバー犯罪も同様に、未知の脅威に対しては、犯人らしい特徴や振る舞いを監視・検知して、その場で現行犯逮捕できるアプローチが求められています」(川原氏)
独自の振る舞い検知技術で未知の攻撃を防御する「FFRI yarai」
FFRIが開発・提供するエンドポイントセキュリティ製品「FFRI yarai」は、まさに「エンドポイント対策の重要性」と「指名手配ではなく現行犯逮捕」をコンセプトに開発された製品だという。PC端末をはじめとしたエンドポイントにソフトウェアを導入し、「プログレッシブ・ヒューリスティック技術」と呼ばれる独自の技術によってマルウェアの「犯人らしい特徴や振る舞い」をその場で検知する。
「既知のマルウェアをパターンマッチングで検出するアンチウイルス製品の『後追い技術』とは異なり、FFRI yaraiはパターンマッチングの定義ファイルに一切依存せず、振る舞い防御による『先読み技術』で未知のマルウェアの攻撃を未然に防ぎます」
同製品の振る舞い防御は、アプリケーション脆弱性攻撃を防ぐ「ZDPエンジン」、マルウェア攻撃を防ぐ「Static分析エンジン」「Sandboxエンジン」「HIPSエンジン」「機械学習エンジン」の計5つの振る舞い検知エンジンによって構成される。複数のエンジンで多角的な振る舞い検知を行うことで、エンドポイント上でより確実に未知の脅威を検知できるという。
出所:株式会社FFRI 川原 一郎氏
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]
FFRIでは、従来のパターンマッチング型アンチウイルス製品に、振る舞い検知型製品であるFFRI yaraiを組み合わせた「ハイブリッド型のエンドポイント対策」を推奨している。数ある振る舞い検知型エンドポイント対策製品の中でも、「特にFFRI yaraiは未知の脅威に対する防御実績に優れる」と川原氏は力説する。
出所:株式会社FFRI 川原 一郎氏
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]
「少し前に世界中で感染被害が相次いだWannaCryをはじめ、これまでに見つかった様々なマルウェアの脅威を、FFRI yaraiは『被害発生前にリリースされたバージョン』で防御可能であった事を確認しています。また、『ファイルレスマルウェア』のような新たな脅威にも我々の研究開発の成果として防御可能である事を確認しています。こうした実績がユーザーに高く評価された結果、導入ライセンス数は年々伸び続けています。興味を持たれた方は、ぜひ弊社まで気軽にお問い合わせいただければと思います」(川原氏)
【解説資料】企業を狙う最新脅威「ファイルレスマルウェア」とは何か? 最新の脅威動向と対策を国内屈指の調査・専門家チームFFRIが解説!
本ホワイトペーパーは、国内の企業・組織を狙う最新脅威である「ファイルレスマルウェア」から守るセキュリティ技術と具体的な対策について分かりやすく解説した最新資料です。本資料をご一読いただき、自社のサイバーセキュリティ対策や最新の脅威動向に対する情報収集にお役立てください。
- 提供:株式会社FFRI
