「気づけない脅威」を可視化する
標的型サイバー攻撃対策の最新テクノロジー
過去の痕跡まで遡り、感染源を突き止める

巧妙化した標的型サイバー攻撃に対応するには、侵入時の防御だけでは不十分です。「侵入を前提」とした内部対策が必要です。そのために欠かせないのが、侵入した脅威の「可視化」です。こうした標的型サイバー攻撃の脅威の可視化を強力に支援するのがトレンドマイクロの最新コアテクノロジーです。過去の侵入の痕跡までも可視化して被害端末を突き止める「Trend Micro Retro Scan™」、リスクのある端末を早期に管理者に警告する「Early Warning Service」を組み合わせることで、過去から現在に至る脅威の感染源を突き止めることができます。

攻撃の端緒となる攻撃用サーバは“神出鬼没”

昨今の標的型サイバー攻撃は、標的とする企業に合わせて巧妙に攻撃を作り込んできます。企業が攻撃の痕跡に気づいた時には、既に侵入から長い年月が経過し、顧客情報など重要なデータが多量に窃取されていた、という最悪の事態も起こり得るのです。手口が巧妙なため、すべての感染を未然に防ぐことは困難です。

“神出鬼没”な攻撃活動も、感染の特定を難しくしています。攻撃者が侵入のために用意した攻撃用サーバ(C&Cサーバ)のうち半数以上は、設置から24時間以内に消滅したり、遠隔で不正プログラムを操作する「活動」と、C&Cサーバを休眠状態にする「活動停止」を頻繁に繰り返しているのです※1
トレンドマイクロの調査によると、2014年に活動停止されたC&Cサーバは月平均で1万3000。一方、休眠状態から目覚め活動再開されたC&Cサーバは月平均4700にのぼります。 
常に同じ場所から攻撃を仕掛けてくるわけではないため、不審な通信が標的型サイバー攻撃によるものか特定するのが困難なのです。

C&Cサーバは攻撃の一部にすぎません。企業内で行われる攻撃活動が隠ぺい、消去されるなど、昨今の標的型サイバー攻撃は防御側の追跡を妨げる活動が高度化しています。まさに「気づけない脅威」と言えるのです。

侵入前提時代のセキュリティ対策には「可視化」が不可欠

こうした「気づけない脅威」に対峙するには、ネットワーク上の不審なふるまいを「可視化」することが欠かせません。どの端末が、どこと、どんな通信を行っているかを把握することで、脅威の存在をいち早く検知し、被害を最小限に抑えることが可能になります。

それを実現するのが、過去に遡って脅威の侵入元を突き止める「Trend Micro Retro Scan(以下、Retro Scan)」です。これはクラウド上で脅威情報のビッグデータを集約・分析するセキュリティ技術基盤「Trend Micro Smart Protection Network™(以下、SPN)」の機能を拡張し、ネットワークトラフィックを監視する「Deep Discovery Inspector™(以下、DDI)」との連携により実現する機能※2。潜伏期間も含め、攻撃を追跡し、感染原因を突き止めることで、根本的な対策を講じることができるようになるのです。

具体的にはSPN上の脅威情報が参照されたアクセスログを2年間保管し、最新のC&Cサーバ情報をもとに過去の接続履歴を分析します※3。過去に遡って照合することで“神出鬼没”なC&Cサーバの活動を捉え、脅威の侵入元を特定します。
その結果はメールによる通知のほか、DDIやRetro Scanポータルでのレポート表示も可能です(図1)。真に対処すべき標的型サイバー攻撃の感染元を突き止め、有効な対策を講じることができます。

図1 Retro Scanのポータル画面

過去のアクセスログを分析し、接続したC&Cサーバ数、
特定のC&Cサーバに接続した端末数や接続数などを定量的に割り出すことができる 

今後は、統合セキュリティ管理製品「Trend Micro Control Manager™(以下、TMCM)」と連携し、TMCM上でのRetro Scanの実行および検出結果表示が可能になり、使い勝手がさらに向上します。

より早い段階で脅威の存在を特定可能に

さらにトレンドマイクロは、潜在的な脅威の可視化までも強化する新たな機能開発を進めています。それが「Early Warning Service」です。これはSPNとRetro Scanの機能をベースに、早期の異常検知を実現する機能。

DDIの保有するWebアクセスログに対し、統計分析、機械学習、データマイニングなどの技術による異常検知を行うとともに、SPNの情報との相関分析を組み合わせ、高いリスクがある端末や不審なドメインを特定します。潜在的な脅威と端末の数、端末ごとの異常 値レベルなども可視化することができます(図2)。

図2 Early Warning Serviceのポータル画面

潜在的な脅威とリスクのある端末の時間的な推移をグラフ化するほか、
複数のアルゴリズムで計算された端末の異常値レベルも視覚的に把握できる

Early Warning ServiceはSPNの一機能であるため、クラウド上のサービスとして動作します。開発された新しいアルゴリズムは新しい異常検知アプローチとして随時追加可能です。
例えば、昨年開発された「Web Path Census」というアルゴリズムはWebサイトのドメインではなく、ドメイン配下のパスの類似性に着目して不正ドメインを特定する技術。新たな技術を取り込むことで、さらなる可視化の向上と検出品質の向上を実現します。

このEarly Warning Serviceを活用することで、過去の接続履歴の追跡に加え、現在潜んでいる脅威の把握も可能になります。検証プロセスではRetro ScanでC&Cサーバへの接続を発見する平均約40日前に、Early Warning Serviceがその予兆を捉え、リスクのある端末として警告することに成功しています。これまでより早い段階で脅威の可視化が可能になるのです。早期に脅威の存在を把握できれば、効果的なリスクコントロールを実現できます。Early Warning Serviceは、DDIの次期バージョンからの提供を予定しています。

「気づけない脅威」には、ネットワーク上の不審なふるまいを可視化する対策が極めて有効です。過去に遡って脅威の存在を特定するRetro Scan、早期の異常検知を可能にするEarly Warning Serviceはそのための強力な武器となります。“神出鬼没”な標的型サイバー攻撃の活動を高精度に捉え、リスクの拡散防止に大きな効果が期待できます。

※1 2014年トレンドマイクロ調べ
※2 DDIの最新バージョン(ver3.7)からご利用いただけます。
※3 保存期間は変更される可能性があります。

記事公開日 : 2015.05.29
 この記事は、公開日時点での情報です