Enterprise Watch
最新ニュース

Webからの脅威やソーシャルエンジニアリング攻撃を防ぐには?-シマンテックが説明


Symantec Security Resposeの浜田穣治氏
 株式会社シマンテックは3月19日、Webからの攻撃に関する説明会を開催。主だった攻撃手法をまとめるとともに、有効な対策として「Symantec Critical System Protection(SCSP)」「Symantec Endpoint Protection(SEP)」などの製品を紹介した。

 最近のWeb攻撃は、正当なWebサイトを危殆(きたい)化する手口が主流である(危殆化とは、安全性が脅かされる状態になっていること)。例えば、SQLインジェクションでWebサイトを改ざん、不正なコンテンツを埋め込み、アクセスユーザーをマルウェアに感染させる。正当サイトが狙われるようになったのは、「警戒心の少ない正当サイトの方が、怪しいサイトよりも幅広い一般ユーザーに影響を与えられるからだ」(Symantec Security Resposeの浜田穣治氏)。

 攻撃の流れとしては、まず何らかの方法でWebサイトを危殆化。その後は、アクセスユーザーに自動的にマルウェア感染させるものと、ユーザー自身の何らかの操作を介して感染させるものに分類される。危殆化方法としては、「Webアプリケーションへの攻撃」「Webサーバーへの攻撃」「悪質な広告」「検索エンジン結果のリダイレクト」「バックエンドのホスティング会社への攻撃」などが挙げられる。

 ユーザーPCへ自動感染させる手口は、「ドライブバイダウンロード」と呼ばれ、昨今急激に件数を伸ばしている。アクセスしたユーザーPC上のソフトウェア脆弱性などを突いて悪意ある攻撃コードを忍ばせるもので、「Webサイトを見ただけで感染し、ユーザーは何も気がつかないことが多い」(浜田氏)のが特徴だ。

 一方、ユーザー自身の何らかの操作を介する手口は、「ソーシャルエンジニアリング」と総称される。そうすることがユーザーにとって有益であるかのように見せかけ、ユーザー自身に、マルウェアを取り込ませてしまう。代表例は「偽コーデック」や「偽セキュリティソフト」。例えば動画ファイルを開こうとした際に、「閲覧のためにはソフトが必要です」などのポップアップを表示させ、ユーザー自身に、コーデックとは名ばかりのマルウェアをインストールさせる、といった例だ。この場合、脆弱性を突く必要がなくなるのが、攻撃者にとってのメリット。

 特に、偽セキュリティソフトをはじめとする「ミスリーディングアプリケーション」の動きが近ごろ活発で、シマンテックによれば、2008年下半期に2300万件ものアクティビティが検出されたという。また同社が発行したホワイトペーパーでは、「攻撃者は自作の偽ソフトを広く普及させるために、大掛かりな配給ネットワークを作り上げている。この手法に引っかかるのが2300万人のユーザーのうち1%だけであったとしても、1100万ドルの収益を生み出す」とも報告されており、それを裏付けるかのように、さまざまな偽ソフトとその亜種が発見されている。


増加するドライブバイダウンロード ユーザーの操作を介した感染 2008年下半期に2300万件を超えた偽セキュリティソフトによる攻撃

エンタープライズセキュリティプロダクトグループ テクニカルプロダクトマネージャの池永章氏
 「こうした状況に対して、従来のセキュリティ対策では限界だ」と指摘するのが、エンタープライズセキュリティプロダクトグループ テクニカルプロダクトマネージャの池永章氏だ。「脅威を防止するためには、公開サーバーとクライアントの保護が必要だが、これまでその役割を担ってきたファイアウォール、ネットワークIPS、ウイルス対策では、既知の脆弱性にしか対応できない」。

 そこでシマンテックが提供するのが、公開サーバーを保護するSCSPやクライアントを保護するSEPである。SCSPでは、「ネットワーク保護」「エクスプロイト阻止」「システム制御」「監査とアラート」といった機能を搭載。「アプリケーションやOSに許容される動作(ビヘイビア)をあらかじめ設定することで、不正な動作を監視することができるし、ファイルやレジストリの構成・設定をロックして、ルールに違反するようなレジストリ書き込みなども制御できる」(池永氏)という。たとえ、未知の脆弱性が侵入してしまっても、それを見つけて適切に対処できるようにする仕組みだ。

 似たような仕組みがSEPにも搭載されている。既知の脆弱性を突いた攻撃に対しては、不正な通信を遮断する侵入防止機能で対処できる。「ドライブバイダウンロードは気がついたらマルウェアに感染してしまうやっかいな手口だが、要は脆弱性を突く通信を防止できれば、最終的にマルウェアには感染しない。それを実現するのがこの機能だ」(同氏)。

 しかしこれは脆弱性データベースを基にした防御であるため、未知の脆弱性を突く攻撃やソーシャルエンジニアリングによる攻撃は防げない。そこで有効なのが、もう1つSEPに搭載された「TruScan」という機能。PC内のさまざまな動作(プロセス)を監視するもので、「どんな脆弱性を突くか」といったことに依存しないため、未知の脅威にも対応できるというわけだ。検出された不正なプロセスは「終了」「検疫」を行うことが可能で、「検疫」された検体は、シマンテックで解析が行われ、ウイルス定義ファイルへ反映されるという。

 「最近の脅威に対して、定義ファイルだけでは対処しきれない」。そう、セキュリティベンダーは口をそろえ始めている。ドライブバイダウンロードやソーシャルエンジニアリングなどに対しては、ヒューリスティック検知やビヘイビア検知などを備えた統合セキュリティソフトが必要である。一般ユーザーが行える対策は、「こうした製品を導入し、パッチやセキュリティソフトの更新を常に心がけ、そして何事も疑うことが大事。例えば、状況によっては、友人のアドレスから悪意のメールが届くこともある。友人だからといって安心しないで、いつもと違う変な状況に直面したらまず疑う。当社でも疑わしいコンテンツを確認するNorton Safe WebといったWebサイトも用意しているので、慎重さを身につけてほしい」(同氏)とした。


Symantec Critical System Protectionの機能概要 SEPはドライブバイダウンロードをこう防ぐ 侵入した未知の脅威も挙動で検出


URL
  株式会社シマンテック
  http://www.symantec.com/ja/jp/

関連記事
  ・ 「USBメモリに警戒高まる」、シマンテックがエンドポイントセキュリティ意識調査(2009/02/05)
  ・ 見えないルートキットをいかに検出するか、シマンテックが独自技術を説明(2008/06/19)
  ・ シマンテック、サーバーOS向け統合セキュリティソフト新版-ビヘイビア分析に対応(2007/04/18)


( 川島 弘之 )
2009/03/19 17:48

Enterprise Watch ホームページ
Copyright (c) 2009 Impress Watch Corporation, an Impress Group company. All rights reserved.