本章では、モダンマルウェアが既存のセキュリティデバイスをいかにして突破するのか、これらの機能を超えて効率的にネットワークを保護するにはどうすればよいのかについて述べる。
急激に拡大する攻撃範囲
アプリケーションの進化にともない、文字通り数百ものアプリケーションがファイルやコンテンツを転送する能力を持つようになった。すなわち、インスタントメッセージング、ウェブメール、ソーシャルメディアプラットフォーム、マイクロブログ、ワークフロー/共同作業アプリケーションなどである。
つまり、今日、攻撃者たちは電子メール以外にもずっと多くのツールを使ってマルウェアを配布できるようになっている。問題を深刻にしているのは、これらのアプリケーションの多くがリアルタイムモデルの上で動作している点だ。
たとえば、電子メールがユーザーに配信される前にマルウェアのチェックを受ければ、配信は少し遅れるが、それについて文句を言う人はまずいない。しかし、現在、脅威はブラウザ、あるいは他の多数のリアルタイムのアプリケーションを通じてやってくる。ここでは遅延が発生すれば、ユーザーからの苦情が殺到することになる。
ソーシャルメディアがもたらした意図しない結果
インターネットは多数の新世代ソーシャルメディアアプリケーションを生み出し、個人あるいはビジネスのネットワークユーザーがこれらにアクセスするようになった。多くのアプリケーションは、ユーザーとビジネスの生産性を高めるものだ。これらは、未来のアプリケーションのモデルとして急速に認知されるようになった。インターネットに完全に依存するアプリケーションを使って情報の集積や対話を行う能力は、ビジネスパーソンに求められる主流のモデルとなっている。したがって、ビジネスにおいてこれらのアプリケーションをどのように管理して、利点を活かす一方でリスクをコントロールするかが重要になってくる。
企業のネットワークでのソーシャルメディアの爆発的流行は、ビジネスとセキュリティのリスクもまた同時に爆発的に増加することでもある。ビジネスのリスクには、従業員が自分たちのことや取りかかっているプロジェクト、企業そのものについて不適切な発言をしてしまうことまでが含まれる。すなわち、セキュリティのリスクには、マルウェア配布の他に、ソーシャルエンジニアリング(人間の隙やミスを突いて情報を入手すること)がある。
不可視性
アクセシビリティと利用性を最大化するために、多くのアプリケーションは最初から伝統的なポートベースのファイアウォールを、動的に通信方法を調整することで迂回するように設計されている。そのため、マルウェアの脅威がいっしょに運ばれてくる。見えない脅威をコントロールすることはできない。またモダンマルウェアは、さまざまなテクニックを使ってその本性を隠し、ネットワーク上での存在を隠しながら動作を続ける。
・非標準ポートとポートホッピング
ファイアウォールを回避するアプリケーションは、ポートベースのファイアウォールが過去のものとなった大きな要因である。これらのアプリケーションは、ポートが定義されている単純な制御を他のポートにバイパスする。もしポートがブロックされていたら、他の開かれているポートを探し出す。ほとんどのアプリケーションは、利便性を重視してこのような動作をする。しかしながら、こうした仕様は攻撃者がネットワークの境界を越えてマルウェアを忍び込ませ、命令と制御を行うのにも理想的である。
・SSL暗号化
マルウェアの制作者は感染時のトラフィックを隠すために、さまざまな形式の暗号化に強く依存している。これは、現在進行中のボットネットの命令と制御についても同じである。SSLは好んで使われるが、これはデフォルトのプロトコルで、GmailやFacebookなどでも使われているためである。これらのサイトは偶然にも、ソーシャルエンジニアリングにとってもマルウェア配布にとっても、非常に魅力の高い素地となっている。SSLによる暗号化により、多くのITセキュリティチームはネットワークトラフィック中のマルウェアを見つける能力を失ってしまった。SSL以外にもマルウェアのトラフィックを隠す暗号化手法は数種類あり、人気を得ている。P2Pアプリケーションは、感染と、命令と制御の能力を持ち、専用の暗号化手法が用いられることがしばしばあり、悪意のあるコンテンツを従来のネットワークの境界を越えて通過させることができる。
・トンネリング
トンネリングも、攻撃者が悪意のあるトラフィックを隠すのに有用なツールの1つである。多くのアプリケーションが、他のアプリケーションやプロトコルをトンネルする機能をサポートしている。これは、セキュリティを通過できるサービスやアプリケーションを利用して、攻撃者が内容を偽って通信を行えるようにする。
・プロキシ
モダンマルウェアと攻撃者は、プロキシを使って伝統的ファイアウォールを通過する。「破壊不可能」なボットネットであるTDL-4は、感染したすべてのホストにプロキシサーバをインストールする。これにより、ボットそのものの通信を保護するのみならず、匿名のネットワークを構築して、ボットの形跡を隠し、誰もがそのネットワークをハッキングやその他の違法行為に利用できるようになる。
・アノニマイザとサーカムベンタ
UltraSurf、Tor、Hamachiなどのツールは、ネットワークセキュリティコントロールを回避するために特別に作られたものである。本章であつかっている他のテクノロジと異なり、これらのサーカムベンタは企業のネットワークの中でオフィシャルに使われることはほとんどない。これらのアプリケーションは、毎月(または毎週)アップデートされ、既存のセキュリティソリューションで防御しようとしても、イタチごっこになるだけである。
・符号化とオブファスケーション
マルウェアは通信を行うときはほとんどいつも、ユニークな方法で送信を符号化する。符号化とオブファスケーション(わかりにくくすること)はシグネチャが検出されるのを防ぐのに役立つほか、マルウェアの最終目的を隠すのに使われる。このテクニックは、文字列を16進数に変えるだけのシンプルなものだったり、専用のアルゴリズムを開発してより細密な変換を行う高度なものだったりする。
・ボットネットとIRC
ボットネットはインターネットリレーチャット(IRC)を使って通信することが多い。このとき、検出を避けるため、標準のポートは使わない。
現代のアプリケーションとポートホッピング
最後に、多くの新しいビジネスアプリケーションも同様のテクニックを操作性の向上とともに、顧客、パートナー、その他の組織と自社のセキュリティとオペレーション部門への混乱を最小化するために使っている。たとえば、RPC(Remote Procedure Call)やSharePointはポートホッピングを使う。両者にとってポートホッピングは動作に必須のもので、検出を免れたりアクセシビリティを強化するためのものではない。
この連載の記事
-
第6回
TECH
最新セキュリティ技術WildFireとは? -
第5回
TECH
モダンマルウェア対策の基本方針とは? -
第4回
TECH
次世代ファイアウォールはどのようにマルウェアを撃破する? -
第2回
TECH
ボット、ボットネット、ボットハーダーについて知る -
第1回
TECH
セキュリティにおける最新の脅威とは? -
TECH
モダンマルウェアの脅威と対策 - この連載の一覧へ