特集
» 2016年04月25日 10時00分 公開

標的型攻撃にまずは気付く「サンドボックス」最新事情IT導入完全ガイド(1/2 ページ)

「気付く」ことすら困難な状況に発展した標的型攻撃。だが、不正なファイルを検知するための手法として有効といわれる「サンドボックス」が安価になってきたのは朗報か。

[宮田健,キーマンズネット]

 もはや「標的型攻撃」という言葉を聞いたことがない方はいないだろう。2015年には日本年金機構へのサイバー攻撃が大きな話題になり、一般のニュース報道としても大きく取り上げられた。しかし、昨今の標的型攻撃は「気付く」ことすら困難な状況に進化してきている。そこで今回は、不正なファイルを検知するための手法として有効といわれる「サンドボックス」の市場環境についてお伝えする。

 2015年、日本年金機構の情報漏えいにより大きな話題となり、脅威として認知も高まった「標的型攻撃」。これにより「標的になる企業(組織)は対策をすべき」という印象を持った企業も多いだろう。しかし、この「標的になる企業」を人ごとだと思っている経営者も少くない。

 実際のところ、標的型攻撃の一部は確かに「その企業しか持っていない情報」を狙うものや、「特定の企業の思想などに反抗する」ための行動として攻撃が行われる。しかし一般的には“標的型攻撃”という特別な攻撃が行われるわけではなく、これまでに知られた攻撃手法を使い、“攻撃できる企業”を攻撃しているにすぎない。この誤解を解き、多くの企業が明日にも被害者になり得る「本当の標的型攻撃」を知り、対策を考えてみよう。

標的型攻撃対策は「マルウェア」の検知がポイントになる

 実はこの「標的型攻撃」、英語の「Targeted Attack(ターゲテッドアタック)」を和訳したものであるが、この標的型攻撃という表現はいわば日本独自の用語だ。日本における標的型攻撃は、主に「メールに添付されたマルウェアを起点とする攻撃」や「Webサイトを閲覧したことでマルウェアに感染させる」というものを指していることが多い。

 不特定多数に対する攻撃は、特定企業だけを標的にしていないことから「ばらまき型」とする表現もあり、実際はこのばらまき型の攻撃を日本では標的型攻撃としている場合も多い。本記事ではそのような日本式の標的型攻撃である、「Web、メールからやってくるマルウェアをどう対策するか」に絞って考えてみよう。

 これまでのトラディショナルなサイバー攻撃はWebサーバに残る脆弱(ぜいじゃく)性、例えばSQLインジェクションなどを利用し攻撃を行うものが多かった。これはサーバそのものを攻撃対象としたものだ。しかし、標的型攻撃はメール、Web、USBメモリなどを利用し、マルウェアをPC端末やモバイル端末など「エンドポイント」に感染させる手法を採る。

 エンドポイントを感染させるためには、まず何らかの方法で「ファイル」の形をしたマルウェアを開かせる必要がある。これまでであれば不正な実行ファイル(.exe)を添付ファイルの形で送りつけるなどの手法が採られたが、不審な実行ファイルは開かないという教育のおかげか、最近は「一見普通の書類に見えるが、開くことで“脆弱性”を突くファイル」が主流となっている。これらはOfficeファイル形式やPDF形式などのファイルそのものなのだが、中身には脆弱性を攻撃する特別なコードが埋め込まれており、それを開くことで対象のPCが攻撃者の管理下に置かれてしまう。

 実はこのような攻撃には、「適切にアップデートを行い、既知の脆弱性をふさぐ」ことこそが最大の対策になる。OSのバージョンアップや利用しているソフトウェアのアップデートを行うことで、既知の脆弱性をふさぐことが可能なため、マルウェアの行動を失敗させるという意味では、セキュリティの基本をしっかりと行うことがとても重要だ。

 とはいえ、さまざまな事情でパッチを当てられない環境もある。さらに未知の脆弱性を使ったゼロデイ攻撃と呼ばれる手法で攻撃が行われる可能性もある。そこで、最初の一歩であるマルウェアの混入した「不正なファイルをいかに検知するか」が対策のポイントになる。またこの対策は検知をエンドポイントでやるか、ネットワークでやるかなど「どこで検知するか」と、リアルタイムで検知を行うかそれともセキュリティ侵害が分かった時点でチェックするかなど「いつ検知するか」などの分類が可能だ。図1はガートナーが考える未知の脅威を検知、対応するためのパターンである。この5つのスタイル全てに対応することが理想だが、まずどこから投資をすべきかが多くの企業における課題になっている。

図1 高度な脅威に対する5つの防御スタイル 図1 高度な脅威に対する5つの防御スタイル(出典:ガートナー)

 この中で注目したいのは、ペイロード分析(図中のスタイル3)と表現されている部分だ。これはメールやWebの「経路上」で、検知を「リアルタイム」で行うというもので、不正なファイルの挙動をつかむことを目的としており、主に「サンドボックス」機能を使うことが多い。現在では専用アプライアンス型だけでなくネットワーク機器として、またはクラウドサービスとして多くのベンダーが参入しており、注目されている部分だと言えよう。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。