多様化・高度化する「標的型攻撃」に備えよ！
～未知のマルウェアをも検知する画期的な技術～

多様化する「標的型攻撃」

「標的型攻撃」は2010年ごろに登場し、日本では2012年ごろからその被害が大きく報道されるようになってきた。その代表的な攻撃手法は次のとおりだ。特定企業や団体の従業員にメールを送りつけ、「RAT（Remote Administration Tool / Remote Access Tool）」と呼ばれるマルウェアを企業ネットワーク内部に潜り込ませる。そして、攻撃者が外部から遠隔操作して社内の情報を掻き集め、外部に持ち出す。
だが、標的型攻撃は典型的なパターンだけでは語りきれなくなっている。「次第にその攻撃目的も多様化し、手法も高度になっている」と大浴は指摘する。

「近年とみに、標的型攻撃が広がってきています。もともとは、攻撃者が特定の企業や団体内部の情報を狙うものでしたが、今では政治的な主張を世に広めるための攻撃や、感染させたシステムを人質にとって金品を要求するもの、さらには単なる愉快犯や無差別攻撃まで、攻撃が実に多様化しています。それを防ぐために、脅威を検知する高機能かつ高性能なエンジンが必要です」

そこでPFUは、2015年に「標的型サイバー攻撃対策支援サービス」を立ち上げた。このサービスの一部として導入されたのが、PFUが独自に開発した脅威の検知技術「MIPS（Malicious Intrusion Process Scan：悪意ある侵入プロセスの検知）」である。
MIPSの最大の特長は、攻撃者の行動を振る舞いとしてパターン化し、その行動モデルによってマルウェアを検知することだ。それこそが、世の中一般の脅威検知技術との最大の違いであり、未知のマルウェアも検知可能な高精度での検知を可能にしている。PFUはこれを「攻撃者行動遷移モデル」と呼び、特許を取得している。

攻撃者行動遷移モデル

1日35万種類もつくられる(注)マルウェアをどう検知するか

「攻撃者行動遷移モデル」について詳述する前に、一般的なマルウェア検知技術の仕組みを確認しておこう。
通常、マルウェアの検知には、マルウェアを一意に特定するコードである「シグネチャ」を用いている。これは、指名手配の顔写真のようなものだ。警察が顔写真を見て指名手配犯を捕まえるように、ウイルス対策ソフトは、シグネチャをもとにマルウェアを検知する。この仕組みに、検知の限界があると大浴は言う。
「マルウェアは1日35万種類もつくられていて、シグネチャを日々アップデートするのは到底間に合いません。露見していない犯罪で犯罪者の顔を特定することができないのと同じで、マルウェアによる被害が表面化していない、あるいはマルウェアの存在が認知されていない場合、シグネチャを特定することができません。当然、シグネチャが明らかにされていなければマルウェアを検知することができません」

(注)出典：ドイツの独立系セキュリティ評価機関AV-TESTの「Malware Statistics & Trends Report」

MIPSで採用した「攻撃者行動遷移モデル」は、シグネチャに頼るマルウェア検知の限界を克服した画期的な技術だ。
「シグネチャが指名手配の顔写真なら、行動遷移モデルは犯罪者に共通する行動パターンのことです。たとえば窃盗犯であれば、窓や玄関から家の内部に侵入し、物を盗んで外に出る、という共通の行動パターンがあります。それと同じように、マルウェアにも、たとえばRATであればファイルを集めて外部に送信するという共通の振る舞いがあります。その行動パターンに適合するソフトウェアを、マルウェアとして検知します。これが、シグネチャが特定されていなくてもマルウェアを検知できる理由です。未知のマルウェアをも見つける検知率の高さがMIPS最大の特長です」

マルウェアの振る舞いを「見える化」する運用管理機能

PFUの「標的型サイバー攻撃対策支援サービス」は、このMIPSを搭載したエンジンを顧客に貸し出し、顧客のネットワークを脅威から守る。エンジンが取得した情報をPFUのSOC（Security Operation Center）に転送し、PFUのアナリストが分析して脅威に備える。

「けれども、なかには情報を外部にまったく出せないお客様もいます。そういうお客様は、当社のサービスを使って標的型攻撃に備えたいと思ってもそれができません。そこで、MIPSを搭載したセキュリティ機器を製品として提供することにしました。それが『iNetSec MP 2040』です。それにより、お客様が自社内から情報を出すことなく、標的型攻撃に備えられるようになりました」

サービスから製品へと提供形態を変えるタイミングに合わせ、MIPSの脅威検知力を一段と強化した。その結果、検知できる脅威の対象が大幅に増え、RATのほかにもアドウェアなど、多様なマルウェアを検知できるようになっている。

さらに、製品化のタイミングで運用管理機能も充実させた。

「一般的なセキュリティ製品では、脅威を検出した後もたいへんです。ファイアーウォールや各種セキュリティ機器などからログを集めて分析しないと、何が起きているのか把握できません。複数のログをつなぎあわせて、セキュリティ・アラートがなぜ発報されたのか、さらには攻撃対象の端末や不正送信先のサーバなどを特定することができます。こうした情報が揃った後で、脅威への具体的な対処がようやく可能になります」

その点、iNetSec MP 2040を使うと、脅威検知後の情報の収集と解析にかかる工数を大幅に低減することができる。行動遷移モデルにもとづいて、マルウェアの振る舞いに関するログを自動で収集し、分かりやすく情報を整理しているからだ。

「ネットワーク上を飛び交う通信メッセージについて、解析で必要な情報をロギングしています。また、それらのメッセージをひとつひとつ解析して、マルウェアがどの端末からどういう経路を通り、どのサーバにアクセスを試みているかを『見える化』します。こうした情報を時系列で表示することも可能で、運用者は何が起きているかを瞬時に把握することができます」

なお、ネットワークの通信をすべて解析することができるのは、当社が長年ネットワーク技術を手掛けてきた蓄積の賜物だ。ネットワークの強みを活かし、競争力の高いセキュリティ製品を形にすることができたのだ。
また、iNetSec MP 2040をPFUの製品「iNetSec SF」と連携させると、マルウェアに感染した端末を特定し、自動でネットワークから遮断することもできる。検知した脅威への対処も、これで工数を大幅に削減可能だ。

疑似環境ではマルウェアを見つけられないワケ

iNetSec MP 2040の脅威検出率の高さは、実際の顧客環境で確認されている。

「製品をご購入いただく前に、多くのお客様に製品をお貸しして、PoC（Proof Of Concept：コンセプト検証）で性能を評価いただいています。その際、次々とマルウェアが見つかり、お客様が驚かれることがしばしばです。『セキュリティ対策は、ファイアーウォールとウイルス対策ソフト、サンドボックスで十分』。そう考えておられるお客様も多いのですが、そういう環境でiNetSec MP 2040をお使いいただくと、サンドボックスでは見つけきれないマルウェアが山のように見つかることがほとんどです」

サンドボックスとは、日本語に訳すと「砂場」のこと。砂場は「安全な場所」の比喩だ。砂場で子どもを遊ばせていると安全なように、社内のネットワークに影響が出ない安全な疑似環境を用意する。そこでソフトウェアを実行し、その結果を見て、マルウェアかどうかを判定する。通常、サンドボックスは仮想マシンとして構築され、ネットワークの外部から取り込まれた実行形式ファイルをその仮想マシン上で実行する。

だが、「近年はマルウェアも巧妙になっている」と大浴は言う。

「最近のマルウェアは、実行されたのが実環境か疑似環境かを見分け、疑似環境では動作しないようにつくられています。そのため、サンドボックスでは高度なマルウェアを検出することが難しくなっています」

iNetSec MP 2040は、ネットワーク上の通信を監視するネットワークセキュリティ製品だ。実行環境はすべて実環境であり、マルウェアが動作しないということはない。そして、動作したマルウェアは、その振る舞い（行動モデル）によって捕捉される。サンドボックスでは見つけきれないマルウェアが山のように見つかることになるのはそのためだ。

運用機能の容易さも、実際の顧客から支持されている。たとえばとある大学では、脅威の兆候をつかんだあと、iNetSec MP 2040の管理機能を使って発生事象をスムーズかつ的確に把握することができた。製品を使っていなければ、対処までにさらなる工数がかかり、被害が現実化していた可能性がある。
「見つからないを見つける」脅威検知力の高さと、「見つけた後が違う」運用管理の容易さが、顧客のセキュリティを守るのだ。