最新脅威に対応する「次世代脅威対策アプローチ」とは

サイバー攻撃者は企業からの情報窃取といった目的を達成させるために日々その攻撃手法を進化させています。従来型のセキュリティ対策技術だけではその侵入を防ぐことは困難です。巧妙化する脅威に対応するため、トレンドマイクロが提唱するのが「次世代脅威対策アプローチ」です。最新の技術・製品を組み合わせた多段的な対策により、未知の脅威も早期に検出できます※1。その仕組みと効果について、トレンドマイクロの太田 浩二が解説します。

本稿は2014年11月21日に行われた情報セキュリティカンファレンス「Trend Micro DIRECTION」のセッションの採録です。

忍び寄る“気づけない”“気づかない”“気づかれない”脅威

「サイバー攻撃手法が進化し、その手口はますます巧妙化しています。標的型メールによる“気づけない”脅威、改ざんされたWebへの誘導を図る“気づかない”脅威、内部活動による“気づかれない”脅威が増大しているのです」。講演の冒頭でトレンドマイクロ マーケティング戦略部 コアテク・スレットマーケティング課の太田 浩二はこのように述べ、セキュリティ対策の現状に警鐘を鳴らします。

例えば、標的型メールは顧客や取引先を装って不正プログラムを仕掛けた添付ファイルを送付します。仕事上、重要な人物からのメールに見えるので“気づけない”。ひとたび開封すれば感染し、C&Cサーバ(遠隔操作のための指令を送るサーバ)のコマンドに従って情報が盗み出されます。Webからの侵入は正規サイトを改ざんするため、訪問者は“気づかない”間に不正サイトに誘導され、攻撃者の“餌食”になります。また組織内に侵入した脅威は、管理者権限を奪取し、遠隔操作で情報を探索します。活動の痕跡も消去するため“気づかれない”で目当ての情報を盗み出されてしまうのです。

昨今の脅威は、これまでの対策だけでは気づくことが困難になっているのが特徴。

「巧妙化する攻撃手法に対処するには従来型の対策だけでは不十分。不正サイトや不正プログラムの検知のほか、C&Cサーバや内部活動で見られる、攻撃の兆候を示す不審な通信を可視化し、脅威を早期に検知することが重要です」と太田は話します。通信を可視化すれば、万が一、不正プログラムを仕掛けられても、不正サイトへの誘導や情報の流出を未然に防げるのです。

ネットワークとファイルの“ふるまい”から未知の脅威を特定※2

こうした最新の脅威に対抗するのが、トレンドマイクロの「次世代脅威対策アプローチ」です。「最新の脅威をネットワークとファイルの“ふるまい”まで含めて連続して解析します。実際の挙動を分析する多段的な仕組みにより、“気づけない”“気づかない”“気づかれない”脅威も早期に発見することが可能なのです」と太田は説明します。

この次世代脅威対策アプローチに対応した製品には、内部に侵入した脅威を検出する「Deep Discovery Inspector(DDI)」、DDIなどネットワーク監視やメール/Webゲートウェイ製品から送られる不正ファイルを仮想環境で解析する「Deep Discovery Advisor」、標的型メールをブロックする「Deep Discovery Email Inspector」があります。こうした製品群はトレンドマイクロが開発した高度な分析エンジンや解析技術を実装しています。分析エンジンや解析技術を駆使し、ネットワークとファイルに潜む脅威を検知するのです。次世代脅威対策アプローチとはどういったものなのでしょうか。解説していきます。

次世代脅威対策アプローチでは、まず初めにパケットに対して脅威解析を行い、ネットワーク上の不正な通信や不審な通信を検知します。同時にファイルのやり取りの通信であれば、ファイルの解析エンジンで分析を行います。そこで得られたプロトコルやポート番号といった情報以外にURLやファイル名といった付加情報をトリガーとして、ネットワークの“ふるまい”解析を実施。プロトコルやデータ、既知の脅威情報における相関分析から不審な通信を特定していきます。この段階でグレーと判断され、更なる解析が必要なファイルは、サンドボックスをベースにした解析システムで実際に挙動を確認して解析します。

トレンドマイクロの次世代脅威対策アプローチ

ネットワークとファイルのふるまいを解析。その相関分析から脅威を特定。既知だけでなく、未知の脅威も検出可能。

ネットワークの脅威を解析するエンジンには「NCIE(Network Content Inspection Engine)」、「NCCE(Network Content Correlation Engine)」などがあります。「NCIEは不正な通信、つまり不正プログラムによる攻撃を検知するエンジン。どこから、どこに、どんな通信が行われているか判別し、内部感染を早期に発見します。Shellshockなど脆弱性を狙う攻撃にも対応。NCCEはネットワーク上のあやしいグレーな通信を検知するエンジン。単にネットワークパケットを解析するだけでなく、数千にわたるヒューリスティックルール、様々な情報の関係性からリスクを浮き彫りにするため、通常のネットワーク解析では検出できない未知の脅威の検出が可能です※3」(太田)。

ファイル解析エンジンには「ATSE(Advanced Threat Scan Engine)」、「VA(Virtual Analyzer)」などがある。ATSEは従来の検索エンジンにくわえ、ドキュメントエクスプロイト検知を実装した、標的型攻撃に最適化されたエンジン。ドキュメントエクスプロイトとはドキュメントファイルの脆弱性を利用した攻撃。攻撃コードの特徴分析により、既存の不正プログラムだけでなく、未知の脅威※4も検出可能です。ドキュメントファイルはOffice、一太郎、PDF、Flashなど一般的なものほか、拡張子偽装(RTLO/RLO right to left override)など広く対応します。ATSEの結果はNCCEに送られ、その他の情報と相関分析が行われます。

NCCEを経て、さらに解析が必要なファイルがVAに送られます。VAは、サンドボックスと複数の解析エンジンで脅威特定を強化するフレームワーク。「ネットワークやファイル解析の結果を踏まえ、脅威を“ふるい”にかけます。ここで判別できなかったものが、VAに送られます。カスタムサンドボックスと呼ばれる日本語OSやアプリケーションに対応した※5、ユーザのデスクトップに近い環境を再現できる仮想環境でファイルを実行し、その結果をさらに複数のエンジンで解析することで脅威を特定していきます。このように、ネットワーク、ファイルの両面からふるまいを多段的に解析することで、未知の脅威※6にも対応するのです」と太田は語ります。

Virtual Analyzerの解析フロー

サンドボックスで不審なファイルを実行。実行結果のふるまいやダウンロードファイル、パケットをさらにATSEやSPN(Trend Micro Smart Protection Network)で解析することで脅威を特定。検出された脅威はSPNに反映されることで、検出精度が向上。

Trend Micro Smart Protection Networkとの連携で脅威の特定を強化

このように次世代脅威対策アプローチは、ネットワーク、ファイル両方のふるまい解析により、強力な内部監視、脅威特定を実現。従来の仕組みでは検出が困難だった脅威を早期に発見し、リスクの拡大を防止するのです。

多段的な分析エンジンに加え、強力な内部監視を支えているのが脅威情報収集ネットワーク「SPN(Trend Micro Smart Protection Network)」。SPNは世界中のトレンドマイクロやOEM製品およそ1.5億にのぼるデバイスから、様々な情報を収集します。SPNのひとつであるWebレピュテーションでは、ドメイン、Webページの単位でスコアリングを行い、最新脅威をブロックします。

SPNは1日30万の新しい脅威を特定します。数はもちろんのこと、スピードも大きな強みです。「セキュリティの第三者機関であるNSS Labsによると、トレンドマイクロの新しい脅威への平均対応時間はテスト対象製品のうち、最速の平均14.4分※7。新しく検出した不正URLは、5分間隔でWebレピュテーションのサーバに送られ、新規不正URLとしてお客様を防御します。また自動解析による未評価URLも15分で解析が完了されWebレピュテーションに反映されます」と太田は説明します。先述したネットワークおよびファイルの分析エンジンはこの情報を取り込み、新たな脅威を検出します。

SPN(Trend Micro Smart Protection Network)の構成イメージ

世界各国から収集した情報を分析し、日々新たな脅威を特定。特定した脅威情報はクラウドから世界中のトレンドマイクロユーザのソリューションにフィードバックします。

消えた過去をトレースバック、痕跡を追跡し根本原因を突き止める

トレンドマイクロは、さらに次世代脅威対策アプローチを進化させます。その一つがSPNの新機能「Trend Micro Retro Scan(以下Retro Scan)」。Retro Scanは、過去に遡って脅威の侵入元を突き止める機能。SPN上へのアクセスログを継続的に保管し、C&Cサーバへの接続履歴から脅威の侵入元を特定します。「感染の事実に気づかず、その痕跡を検出することも困難な脅威でも、感染元を突き止めることで、有効な対策を講じることができます」と太田はそのメリットを強調します。

DDIの最新バージョン3.7に搭載されます。また、今後リリースを予定している「Deep Discovery Endpoint Sensor(以下Endpoint Sensor)」では、クライアントの動作をログとして保存することで、感染端末の追跡が可能になります。つまりRetro Scan、DDI、Endpoint Sensorを連携させることで、さらに強力な内部監視が実現し、ユーザは根本的な対策を行うことが可能になるのです。

巧妙化するサイバー攻撃に対処し被害の拡散を食い止めるには“水際”だけの対策では不十分。不審な通信、挙動を早期に発見することが重要となります。「それには単一のセキュリティ製品だけでなく、それぞれの強みを活かした製品の組み合わせによる『次世代脅威対策アプローチ』が有効です」と太田。既知の脅威はもちろん、未知の脅威への対応力を高めることで、セキュリティリスクを大幅に低減していくことができるのです。

本稿で紹介した最新技術は、トレンドマイクロのDeep Discoveryシリーズなどに搭載されています。

※1、2、3、4、6 すべての未知脅威に対応するものではありません。
※5 2014年7月7日現在 Microsoft Windows XP, Microsoft Windows 7に正式対応。全ての日本語アプリケーションの動作を保証するものではありません。
※7 テスト対象製品:ウイルスバスター クラウド、Consumer EPP Comparative Analysis - Socially Engineered Malware

記事公開日 : 2015.01.20
 この記事は、公開日時点での情報です