標的型攻撃対策ツールの基本的な機能

標的型攻撃対策ツールの基本機能

サンドボックス

標的型攻撃は極めて防御が困難とされています。その理由の1つに、新たな動きをする未知のプログラムが次々と作成され、それらが悪用されることにあります。存在が知られているウィルスであれば、事前に検知することができますが、未知のプログラムであれば、それが攻撃なのかどうかの判断さえできません。

そこで用いられるようになったのが「サンドボックス」という実験用の仮想エリアです。初めて検知されたプログラムは、とりあえずサンドボックスに入れて、動きを観察します。その結果、挙動不審な動きをするのであればそのまま隔離し、問題がなければ目的とするシステムへの移動を許可します。

DPI制御

DPIとは、Deep Packet Inspectionの略で、転送されてきたパケットのデータ部分を読み取って、受信を許可するか否かを判断する機能です。

メールなどのデータは、ヘッダと本文部分で構成されています。ヘッダには宛先、送信元IPアドレス、ポート番号などが記されており、ここの部分で判断することをSPI（Stateful Packet Inspection）とよびます。従来、疑わしいアクセスに対してはSPIによる判断だけで十分でした。

しかし、手口が巧妙化して、ヘッダ部分に悪意のあるプログラムを埋め込まず、本文にウィルスなどが埋め込まれるようになりました。そこで、ルータやスイッチ、帯域制御装置、UTM、次世代ファイアウォールなどゲートウェイで機能する機器にはDPI制御が搭載されるようになっています。

プロトコル制御

ネットワークに入ってくるプロトコルを判断して、アクセスの許可/禁止を設定する機能です。ネットワークではHTTP、HTTPS、FTP、Telnet、SOCKS、P2P、TCPトンネル、ICP、IM、Windows Media、Real Media、QuickTime、DNS、MAPI、CIFS、RTMPなど、さまざまなプロトコルが利用されています。セキュリティポリシーによりこれらのプロトコルを制限して、不審なアクセスを防ぎます。

振る舞い検知

プログラムの挙動を常時監視し、正規プログラムにはない不審な挙動を検知する機能です。「ヒューリスティック分析」「ジェネリック検知」とも呼ばれます。

企業ではゲートウェイレベルやクライアント端末にアンチウィルスソフトをインストールし、怪しいプログラムの侵入を防いでいますが、それでも検知できない新型あるいは亜種のウィルスが忍び込んでしまうことがあります。

これらのプログラムの「振る舞い」を観察し、怪しいと判断した挙動を阻止します。これにより、攻撃による被害を未然に防ぎます。

偽造メール検知

標的型攻撃は複数のステップで目的を果たそうとします。そのステップの最初でターゲットへの接触に利用されるのが標的型メール攻撃です。これは、差出人やタイトルを偽って、送りつける偽装メールによる攻撃のことです。

一見、関係者からの正常なメールに見えますが、添付されているファイルを開くと、不正プログラムの活動が開始されます。プログラムの活動が開始されたことさえ気づかせないほど、巧妙にできています。

たとえば、2015年に発覚した日本年金機構の個人情報流出事件では、「『厚生年金基金制度の見直しについて（試案）』に関する意見」というタイトルのメールがきっかけになりましたが、添付ファイルを開けた職員は、まったく攻撃されていることに気がついていませんでした。

出典：日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告について」
http://www.nenkin.go.jp/oshirase/topics/2015/0104.files/E.pdf 　　　

このような巧妙な偽造メールを検知するツールが登場しています。たとえば、いつもとは異なる特徴を持ったメールや、既知の攻撃に似ているメールを発見し、利用者に注意を促したり、削除や隔離などの対処をするツールです。

標的型攻撃の放置は極めて危険です。緊急な対処をお勧めします。