Operation Auroraを止めたシグネチャーレスのセキュリティ製品

標的型攻撃からの防御に特化したFireEyeのメカニズム

2012年12月04日 06時00分更新

文● 大谷イビサ／TECH.ASCII.jp

FireEyeシリーズは標的型攻撃の防御に特化したセキュリティ機器。ファイアウォールやアンチウイルス製品で防げない未知の攻撃を解析し、シグネチャを動的に生成するというユニークなメカニズムを持つ。

既存のセキュリティ機器では標的型攻撃は防げない

　昨今、サイバー攻撃がセキュリティ製品をすり抜けるべく巧妙化し、既存のファイアウォールやアンチウイルス製品で手に負えなくなってきているのはご存じの通りだ。米ファイア・アイのFireEyeシリーズは、既存のセキュリティ装置を補完し、標的型攻撃の防御を実現するユニークな製品だ。「現状、標的型攻撃の防御にここまで絞った製品はうちしかない。その意味ではコンペティターはいません」と語るのは、ファイアアイ日本法人シニアシステムズエンジニアの小澤嘉尚氏だ。

ファイア・アイシニアシステムズエンジニア小澤嘉尚氏

　FireEyeが防御の対象とするAPT（Advanced Persistent Threat）やスピア型フィッシングと呼ばれる標的型攻撃は、特定の企業をねらい打ちにするため、攻撃やマルウェアのサンプルを分析し、シグネチャを生成・配信するという方法が通用しない。また、Webやメール経由で拡がる最新のマルウェアは、脆弱性等を突く悪意のあるコードがいったんPCに潜んで、あとから本体をダウンロードするという動作を行なう。

　小澤氏は、「マルウェアがC&Cサーバーにコールバックし、外部からダウンロードできるようになってしまうのが大きな問題。最近ではURLも使い捨てになっているので、レピュテーションが通用しない」と話す。FireEyeのコンセプトは、こうしたコールバックを封じ込め、マルウェアを孤立させることだという。

独自のWindows仮想マシンで
疑わしいファイルを動作させる

　FireEyeはWeb用のWeb MPS（Malware Protection System）、メール用のMail MPS、ファイルアクセス用のFile MPSなどのアプライアンスが用意されており、これらをCMS（Central Management System）が一元管理する構成となっている。

　FireEyeではパケットキャプチャとサンドボックスを組み合わせた独自の「VXエンジン」により、2段階の防御プロセスで標的型攻撃に対応する。

　1段階目では外部から内部、内部から外部のやりとりをパケットキャプチャし、ユーザーに届くことになるファイルを再現。クラウド型のアンチウイルスシステムで精査し、怪しいファイルを検出する。「IPSに似ているが、通常のIPSでは誤検知を防ぐためにヒューリスティック検知が、ほどほどレベルに設定されている。FireEyeはヒューリスティックを最高レベルに上げており、マルウェアの怪しい挙動を捕捉できる」（小澤氏）とのことで、アラートを出したり、悪意のある通信を遮断することも可能だという。

　そして、2段階目のVxEでは怪しいと認識されたファイルを、アプライアンス内の仮想マシン環境で実行する。仮想マシン環境には、Windows PCだけではなく、仮想のWebサーバーやDNSサーバー、C&Cサーバーなどが用意されている。また、仮想のWindows PCにはOfficeソフト、Internet Explorer、Firefox、Acrobat、Javaプラグインなどがインストールされている。実際の動作を再現し、アプリケーションの脆弱性をついた攻撃や悪意のある挙動を検出できる。ユーザーと同じ環境で動作を試すという意味では、研究所などで行なう人的なオペレーションをアプライアンスが代替しているようなイメージだ。

VXエンジンのメカニズム

　こうした「サンドボックス」は他社製品でも用いられている技術だが、「最近ではVMware上で動作していることを検知すると、動作を止めてしまうマルウェアもある。その点、FireEyeでは独自のWindows仮想マシンを使っているので確実。EXEファイルだけではなく、怪しいスクリプトも実行できる」（小澤氏）とのこと。単一の動作だけではなく、複数の動作を加点するというメカニズムにより、マルウェアを判断しているため、精度も高い。また、クラウド上ではなく、ローカルで検体を動作させているため、パフォーマンスへの影響が小さいのも大きな売りだという。

　こうしたFireEyeの2段構えの標的型攻撃対応により、GoogleやYahoo!はじめ30箇所近い大手Webサイトが標的となった「Operation Aurora」もきちんと遮断したという。「防衛関係の機関のほか、大手ITベンダーも顧客に名を連ねている。レガシーのセキュリティ機器では対応できないことを顧客のITベンダーは理解している」（小澤氏）とのことで、既存の標的型攻撃対策に限界を感じているユーザー、ビジネス資産の漏えいや搾取に対してセンシティブなユーザーがいち早く導入を進めているという。