標的型攻撃マルウェアを検知する「WEEDS SCAN-Trace」
近年の標的型攻撃とは
近年、様々な攻撃を仕掛けるマルウェア(ウイルスやワーム、トロイの木馬など、悪質なコードの総称)が世の中では作られています。
その中でも特に巧妙に攻撃を仕掛けるマルウェアが存在し猛威を振るっています。
この攻撃は、標的型攻撃に代表される、アプリケーションやミドルウェアの脆弱性を悪用したり、メールや外部媒体等で企業内部の
端末やサーバに入り込みます。
この攻撃では、入り込んだ情報機器からネットワークを介して内部のサーバなどへ移り込んでいき、最終的に企業の機密情報
(知財情報や個人情報)へアクセスし、盗み出してしまいます。
従来、ウイルス対策ソフトやOSのパッチを適用するなど、一定のセキュリティ対策を施していれば社内ネットワーク内
まで入り込まれることはないと考えられていましたが、このような標的型攻撃で、企業内部のネットワーク及び情報機器に
入り込まれることが実際に起きているのが現実です。
標的型攻撃はどのようにして広がるのか
これらの標的型攻撃は、一度社内ネットワークに入り込むと、インターネットに接続できる環境であれば、
外部と通信して指示を受け、ネットワークの状況に合わせて継続的に攻撃および繁殖、移動が続けられ、少しずつ目的の
情報に迫るため、従来行っていたセキュリティ対策をすり抜けてしまいます。
その結果、企業の機密情報を盗み出されてしまったり、システムを破壊するような攻撃を受けしてしまうの事例が起きてます。
標的型攻撃への対策は“出口対策”しかないのか?!
このような攻撃に対する対策は、「例え進入されても外部へ情報を窃取されなければ被害は小さくなる」という見解から“出口対策”
を行うことが重要とされているようですが、果たして対策と呼べるのでしょうか。
企業の重要な情報機器やネットワーク内に標的型攻撃を仕掛けるマルウェアが進入していることが問題であり、素早く検知して
駆除することが真の対策といえます。
標的型攻撃への対策
振る舞い検出や定義ファイルでの検知は不可能
マルウェアの振る舞いはそれぞれ異なるため、パターン化や定義は不可能
振る舞い検出や定義ファイルは、今までに発見したマルウェアが、どのような振る舞いをするのか調べて定義します。 その定義に該当する振る舞いをしたものに対して検知することが可能です。 しかし、標的型攻撃とは、既存のマルウェアを使用するものではありません。 既存の攻撃手法を組み合わせるため、世に出ていないマルウェアを作成します。 そのため、マルウェアの振る舞いの定義に該当せず、検知することができません。
ばらまき型ではなく、ターゲット企業向けに攻撃されるため検知されない
標的型攻撃は、そのターゲットの企業のために「新たに」マルウェアを作成するため、その企業にだけ配布されます。 ネットワーク上にばらまかれる以前のマルウェアと比較すると、発見される可能性が低いため定義ファイルを作成することができません。
新種マルウェアは日々、増え続けているため把握することが非現実的
1日に見つかる新種マルウェアの数が、かつてないペースで激増しています。 マルウェアのタイプや数の把握ができないため、マルウェアの情報をすべて定義ファイルに書き込むことができません。
つまり、攻撃を特定するような方法では検知は不可能と言えます。
標的型攻撃への対策は、実行プログラムの変化をすべて検知すること
標的型という特性から、その攻撃を特定して検知することは困難
すべての実行プログラム情報を取得すること
マルウェアの定義で不可能であるため、日々、すべてのプログラム情報を調べ異変がないかチェックすることが重要です。 すべてのプログラム情報の中から、新しく作成された異常なプログラム、また既存のプログラムの設定の不正な変更をキャッチすることでマルウェアを検知することが可能です。
実行プログラムだけでなく、ライブラリも検知
昨今の攻撃は、ライブラリにマルウェアの実行をさせるように仕組んで、ブラウザや文書ファイルを起動する際に読み込まれる手法があります。そのため、実行プログラムだけでなくライブラリを検知対象とすることが重要です。
それを実現したのが WEEDS SCAN-Traceです。
「WEEDS SCAN-Trace」とは
サーバ、PC端末の全ての実行プログラム、ライブラリの変化まで検知
わずか10数秒の高速スキャンで、マルウェアに感染した直後に検知可能
マルウェア検知後、即時に隔離
攻撃者からマルウェアを操作できないようマルウェアの動きを停止
だから標的型攻撃を検知し、影響を最小限に抑えることができます。
WEEDS SCAN-Trace “マルウェア対策”の多彩な機能
許可されていないサーバへのアクセス遮断する「Connection-Block」
端末にまず感染した場合、重要な情報が配置されているサーバやそのサーバにアクセスする権利がある端末への接続をブロックすることで、感染を端末内に食い止めることが可能です。 端末内には重要な情報は通常置かれていないため、重要情報が攻撃者の手に渡ることはありません。
攻撃者の侵入を検知する「Login-Monitor」
通常稼動しているサーバに、ログインが発生することはありません。 不正なログインを即時にチェックし、アラートすることで不正を未然に防ぐことが可能です。
感染経路を把握する「Malware-CHASER」
マルウェアが感染した時点での検知は前提として必要です。 マルウェアの感染経路を把握することができなければ、マルウェアによって、企業の重要なデータを盗まれてしまいます。 従って、マルウェアの感染経路を把握することは、端末への感染を検知する以上に重要だと言えます。
脆弱性を与えない(予防)「Get-User」
攻撃者は、端末やサーバからadmin権限のユーザを乗っ取りマルウェアを配置します。 そのため不必要なadmin権限のユーザを保持していることは、攻撃者に侵入される隙を与えることになります。 ユーザの使用状況の把握をし、不必要なユーザを削除することはマルウェア対策で必要な準備の1つです。
不必要なプロセスをモニタリングする「Process-Monitor」
アプリケーションごとに振舞いをチェックすることで、アプリケーションからDBへのアクセスを把握することができます。 このことで、不必要にデータが抜き出されていないか確認することができます。
「WEEDS Trace Series」で、操作記録を取得し攻撃者の操作を取得
攻撃者からの不正な操作(マルウェアを配置する)をチェックすることが可能です。 このマルウェアはどこから来たものなのかを後追いすることが可能です。
迫りくる標的型攻撃をあらゆる場面で検知
WEEDS SCAN-Traceのベンチマーク結果
標的型攻撃を行うマルウェア対策では、瞬時に検知でき、さらにサーバへ負荷をかけない仕組みである必要があります。 WEEDS SCAN-Traceは、以下の通り、サーバに負荷を与えず、瞬時に検知できます。
| OS | CPUスペック | 対象ファイル数 | メモリ使用量 | スキャン所要時間 |
|---|---|---|---|---|
| Windows XP SP3 | Intel Core2Duo 2.4GHz | 58,135 | 約4MByte | 3秒 |
| Windows 2008 Server R2 | Intel Xeon 2.4GHz | 121,520 | 約5MByte | 4秒 |
| RedHatEnterpriseLinux 5.4 | Intel Xeon 2.0Hz | 556,808 | 約4MByte | 4秒 |
上記のベンチマークより、以下のことが言えます。
・メモリ使用量は、4〜5MByteの間になっており、サーバの挙動に過大な影響を与えない。
・スキャンタイミングをスキャン所要時間まで短縮して瞬時に検知できる設定を施せる。
WEEDS SCAN-Traceの監査レポート
日にち・時間帯毎を分布図で表し、視覚的に実行形式ファイルの変更があった時間帯を確認出来る。
スキャン処理にて差分検知された実行形式ファイルの一覧。
製品仕様
| 導入効果 | 標的型攻撃への対策、IPA「新しいタイプの攻撃」への対策 |
|---|---|
| 対応OS | WindowsNT以上、AIX4.3.3以降、RedHat Linux3以降、Sun Solaris 7以降、 HP-UX 11i以降、Cent OS、Ubuntu |
| ライセンス体系 | Server版:監査対象サーバ(OS)単位 年間使用料 |
価格 | オープンプライス |
お問合せはお気軽に、こちらのページよりご連絡下さい。 → お問合せページ
.jpg)
.jpg)