知らない間に被害拡大も――
標的型サイバー攻撃対策の課題を解決する
最新技術・ソリューションとは

標的型サイバー攻撃が猛威を振るっています。これまでのセキュリティ対策だけでは対応が後手に回り、被害の拡大を防ぐことは困難です。未知の脅威に有効と注目されてきたサンドボックスの課題も指摘されています。こうした課題を解決するため、おさえるべき対策ポイントと最新ソリューションを紹介します。

「サンドボックスを入れれば安心」は危険な考え

標的型サイバー攻撃の手口が多様化しています。確認された不正プログラムのファイルハッシュの90%以上は、組織内のたった一台の端末から検出されています※1。つまり、あたりかまわず攻撃を仕掛けるのではなく、組織内の個人や特定部署にターゲットを絞り込み、攻撃を仕掛けているのです。

そして厄介なことに、そうした攻撃は気づかないうちに組織内部に侵入を果たします。トレンドマイクロの調査では、侵入された組織のうち、およそ9割はその事実に気づいていません※2。攻撃そのものの数的な増大や手口の巧妙化に加え、気づくことのできない新たな脅威のリスクも高まっているのです。気づかぬうちに攻撃のステージは上がっていきます。世間で報道される情報漏えい事案は氷山の一角に過ぎません。

こうした状況を受け、導入が進んでいるのがサンドボックスです。パターンファイルでは見つけることが難しいグレーゾーンの不審なファイルを、隔離された保護領域で実際に動かして不正プログラムかどうかを判定するもの。実際の挙動を見て識別するため、標的型サイバー攻撃への対策として有効です。

しかし「サンドボックスを入れれば安心」と考えるのは危険です。サンドボックスで構築する環境はOSなどの制約があり、実環境ではありません。また、昨今の脅威は侵入場所、手段、手口、すべてが非常に巧妙です。攻撃者との“いたちごっこ”は既に何年も続いており、すでにサンドボックスの解析を回避する手口さえも報告されています。大切なことは継続的に環境を見直し、効果の最大化に努めること。これを怠ると、最新のセキュリティ対策製品を導入していても、その効果を維持することはできません。

また、サンドボックスは未知脅威の検知には有効ですが、標的型サイバー攻撃対策としては十分ではありません。サンドボックスだけに頼らず、複数のセキュリティ対策を組み合わせた多層防御で“守り”を固めることで、検知から対処までつなぐことが重要です。それでは、どのような技術や対策が有効なのでしょうか。次からポイントを説明します。

サンドボックスの課題を解決する解析技術

まず、上述のサンドボックスの脅威検知の課題を解決する技術が求められます。その一つが、トレンドマイクロの脅威解析技術「Virtual Analyzer」です。サンドボックスによる動的解析に、複数の解析技術を組み合わせることで、高精度に解析します。構成要素は大きく3つで成り立っています。

図1 脅威解析フレームワーク「Virtual Analyzer」の構成要素

カスタムサンドボックスで、より実環境に近い仮想環境を実現する。さらにTrend Micro Smart Protection Network との連携、動的解析と静的解析を組み合わせたハイブリッドテクノロジーを活用し、既知・未知の脅威を高精度に解析する

1つめが、カスタムサンドボックス。日本語版Windowsやその上で実行する日本語版アプリケーション、独自アプリケーションなど柔軟に仮想環境の構築が行えるのが特長。これにより、それぞれの実環境により近いサンドボックスを実現し、特定の環境に特化した攻撃の挙動監視が可能です。サンドボックスエンジン自体が自動アップデートの仕組みを備えているため、新しいサンドボックス回避策や未知の脅威※3にも柔軟に対応します。

2つめが、迅速かつ正確に最新の脅威を特定するクラウド型セキュリティインフラ「Trend Micro Smart Protection Network(SPN)」の活用。刻々と更新される脅威情報をフィードバックしたSPNにより、検出結果の確度を高めます。

3つめが、ハイブリッドテクノロジー。サンドボックスのアウトプットに対して静的解析を行い、脅威の特定を強化する仕組みです。サンドボックス上で実行したプログラムのネットワークパケットに対して様々な解析を行うことで、総合的な判断ができるようになっています。この3つの仕組みの相乗効果により、サンドボックスの機能を常に最新に保ち、日々変化する脅威を高精度に検知・対処します。

この解析技術は、トレンドマイクロの標的型サイバー攻撃対策Deep Discovery™シリーズ)に搭載されています。

検知から対処までを自動化する最新ソリューション

脅威を検知した後も重要になります。これまでの標的型サイバー攻撃対策の議論では、保護と検知に重きが置かれてきました。しかし、被害の最小化のためには、侵入した敵に対して適切な措置をいかに迅速に講じるかがカギになります。一方で、専門人材や知識の不足などで、迅速な対処に課題を抱えるケースが少なくありません。

こうした課題を解決するのが、製品間連携で検知から対処までを自動化するソリューション「Connected Threat Defense(CTD)」です。

CTDはセキュリティ統合管理製品の最新版「Trend Micro Control Manager™ 6.0 Service Pack3(TMCM)」をベースに、トレンドマイクロの対応製品を組み合わせることで、高度な多層防御を自動で実現します※4。各製品とTMCMが同期をとり、それぞれが連携することで「検知・分析・対処・保護」の処理を自動化します。

図2 Connected Threat Defenseの運用サイクル

最新のトレンドマイクロ製品を組み合わせ、検知・分析・対処
・保護のサイクルを継続的に回し、CTDを実現する

例えば、従業員が受信メールの添付ファイルを実行し、不正プログラムが活動を開始してしまったとしても、ネットワーク監視製品「Deep Discovery™Inspector(DDI)」が“センサー”として機能。ネットワーク上のパケットを分析し、怪しいファイルを取り出します。そのファイルはDeep Discoveryのカスタムサンドボックスで解析を実行し、数時間以内にはカスタムシグネチャの生成と発見された新しいC&CサーバーのIPアドレスを不審オブジェクトとしてTMCMに通知します。そしてTMCMの指示を受けた「ウイルスバスター™コーポレートエディション(ウイルスバスター)」が、カスタムシグネチャとIPアドレスを全クライアントに配信し、二次感染を防ぎます。さらにエンドポイント型標的型サイバー攻撃対策の新製品「Trend Micro Endpoint Sensor™」が、侵害の痕跡(IOC:Indicator of Compromise)をもとに内部監視を実行。全クライアントを能動的に診断し、脅威の侵入をいち早く検出することで、エンドポイントを強力に保護します。

図3 Connected Threat Defenseの連携イメージ

怪しい通信や怪しいファイルを検知するとカスタムシグネチャを生成し、全クライアントに配信。脅威に対する迅速な対処を実現し、被害の拡散を防ぐ

図4 Connected Threat Defenseシナリオ例

このようにCTDは脅威の侵入を前提に考え、エンドポイント対処までを可能にするのが特長です。脅威をブロックするだけでなく、組織内に入り込んでいる脅威を検知し、その後の対策を自動化します。リスクの発見、その解析と対策の作成および配信、さらに対処のプロセスを大幅に短縮できるのです。感染端末の早期対処を実現し、被害を最小化します。

導入しやすい点もCTDの特長の一つです。最新版のTMCMを利用し、既存のDDIやウイルスバスターを最新バージョンにすれば、自動化ソリューションを実現できるのです。既存資産を有効活用し、投資の保護につながります。

2016年には対応製品のラインアップ拡大、既存製品の連携機能の拡充を予定しています。エンドポイントに加え、サーバーに対する早期対処と保護の機能も強化し、より大規模な組織での多層防御の実現にも貢献します。

標的型サイバー攻撃に対抗するには、その活動を可視化し、いかに早期に対処するかが非常に重要になります。こうした課題に対し、CTDは極めて有効なソリューションと言えるでしょう。

※1 2015年トレンドマイクロがSPNの脅威情報をもとに分析
※2 トレンドマイクロ「2015年第2四半期セキュリティラウンドアップ」
※3、5 すべての未知脅威に対応するものではありません。
※4 2016年1月、現在対応している製品はDeep Discovery Inspector3.8、ウイルスバスター コーポレートエディション11.0 SP1、Trend Micro Endpoint Sensor1.5、Deep Discovery Analyer5.0
※ 本稿は、情報セキュリティカンファレンス「Trend Micro DIRECTION」の専門セッションを編集しました。

記事公開日 : 2016.02.04
 この記事は、公開日時点での情報です