各種攻撃を組み合わせて高度化するAPT、その有効な対策とは - Cisco 小林氏

1月17日(火)8時0分 マイナビニュース

○次々と新しい手法で襲いかかるサイバー犯罪者

サイバー攻撃によって企業がその後の経営をも脅かすほどのきわめて深刻なダメージを被ることは、2011年に相次いで発生した国内企業のセキュリティ侵害事件を見れば誰の目にも明らかだろう。サイバー犯罪者は次々と新しい攻撃手法を開発して襲いかかってくるため、情報システム担当者がいくら警戒したところでどうしても後手後手にまわりがちだ。

こうした現状を踏まえ、シスコシステムズのボーダレスネットワーク システムエンジニアリング シニアシステムエンジニア、小林秀行氏は、昨年11月の「2011 Webセキュリティセミナー」において「シスコシステムズのサイバースパイ対策 複数の攻撃を組み合わせた『新しいタイプの攻撃(APT)への対応』」と題する講演を行い、最新の攻撃からいかに自社のIT環境を守るかについての解を示した。

○従来の手法では対策困難な攻撃が主流に

スマートフォンやタブレット端末が急速に普及するなかで、企業でも仕事にそれらを活用するBYOD(私物解禁)の流れが加速し始めている。それに伴い、ビジネスのワークスタイルは、従来の電子メールと電話だけでなく、さまざまなネットワークサービスを駆使するものへと変化しつつある。小林氏は、「そうした動向も影響して、サイバー犯罪の戦術もまた旧来の大量メール型の無差別攻撃から標的を絞ったピンポイント攻撃へと趨勢が移行している」と警告する。

この標的型攻撃は、複数の攻撃を組み合わせて行われるのが特徴で、このような新しいタイプの攻撃手法は「APT(Advance Persistent Threat)」と呼ばれている。典型的なAPTの攻撃は次のようなものだ。

まず、WEBやメール、USBメモリなどを経由して標的とする企業の情報システム(サーバやPC)にマルウェアを感染させる。次に、情報システムに侵入したマルウェアが外部の悪意あるサーバと通信しながら進化。そして、進化したマルウェアが攻撃を開始して、機密情報を盗んだりシステムの破壊を行ったりするのだ。

小林氏は、このようなマルウェアの感染源としてWeb経由が増加しているとしたうえで、「信頼できる企業や組織のWebサイトでも、セキュリティ的には決して万全ではないことをよく認識しなければならない」と訴えた。

現在のWebページは、様々な異なるソースのオブジェクトで生成されているのが一般的であり、それらの中には外部のソースのオブジェクトを利用しているものも多い。このような外部のオブジェクトがマルウェアを感染させる悪意のあるサーバ上のものであった場合、単なるURLフィルタリングだけでは防ぐことが難しいのである。さらに、この悪意ある改ざんを受けたWebサイトへのリンクが貼られたメールが、送信元を偽装したうえで特定の人物に送られた場合には、アンチスパムやアンチウイルスなどの既存のセキュリティ対策網をすり抜けてマルウェアの侵入を許す可能性が高くなってしまう。

○APTにも有効なCiscoの新アーキテクチャ

このように複雑な手法を取り入れて従来のセキュリティ・ツールではなかなか防ぐのが難しいAPTへの有効な防御法として小林氏が推奨するのが、シスコシステムズが提供する「Cisco SecureX」を活用した包括的なセキュリティ対策である。

Cisco SecureXは、アクセス、モバイル、ネットワーク境界、DC/クラウドといった4つのネットワークセグメントをダイナミックかつトータルに防御するアーキテクチャ。「Cisco アクセスセキュリティ」では、認証とアクセス制御、シームレスな有線・無線LAN管理、BYOD展開への準備を実施。「Cisco モバイルセキュリティ」は、マルチデバイス対応、常時接続VPN、セキュアな無線LANによって「リモート接続環境でも社内と同じアクセス環境を提供できる」(小林氏)ようにセキュリティを施す。また、「Cisco ネットワーク境界セキュリティ」は、誰が、何を、どこで、いつ、どのようにネットワークを使用しているかを基にして、しっかりとしたポリシーを制御する。さらに「Cisco DC・クラウドセキュリティ」では、パブリッククラウド、プライベートクラウドどちらについてもビジネスインフラとしてのセキュリティを万全にする。

そして小林氏が、「現在最も力を入れているサービス」として強調するのが、「Cisco SIO」である。これは、シスコシステムズが全世界中に展開する70万以上にも及ぶ情報収集デバイスによって把握した、一日50億以上のWebリクエスト、同10億以上のサンプリング電子メールなどをベースにIPアドレスを格付けして、それに基づいたリアルタイムなアクセス管理を行うといった壮大なサービスだ。

小林氏は、「Cisco SIOは、全世界のインターネットトラフィックの実に35%をサンプリングしている。世界中の情報を収集しているため、セキュリティ機器を分単位でアップデートすることができ、最新の脅威に対応することが可能だ」と強調する。

これらCiscoの最新のセキュリティソリューションやサービスを活用すれば、先にAPTの手法として挙げたような標的型のスパムメールによる攻撃に対しても、まずメールを受け取るネットワーク境界で防御を行い、たとえそこを通過したとしても、次にメールのリンクから悪意あるWebサイトのURLへとアクセスする段階でブロックすることが可能となるのである。

講演の最後には、ジェイズ・コミュニケーション マーケティング部 テクニカルマーケティングの内藤光氏が、Webセキュリティアプライアンス「Cisco IronPort WSA」を用いた情報漏えいと侵入防止のデモを行った。

まず、表示するだけで攻撃が成立してしまうデモサイトにアクセスを試みると、レピュテーションフィルターによって見事ブロック。次に、マルウェアに感染してしまったPCからの外部ネットワークへのアクセスも検知してこちらも防御するなど、その実力を会場に向けて披露した。

マイナビニュース

「攻撃」をもっと詳しく

「攻撃」のニュース

トピックス

BIGLOBE
トップへ