6月19日、次世代ファイアウォールを手がけるパロアルトネットワークスは、「アプリケーションの使用および脅威分析レポート 2014年度版」の調査を発表した。発表会では、高度化するボットやSSLの脆弱性を狙った攻撃、日本ならではの傾向などが説明された。
無防備なUDPを使うZeroAccessは上陸間近?
アプリケーションの使用および脅威分析レポートは、パロアルトが同社のファイアウォールを採用しているユーザーのトラフィックを匿名で調査したものになる。2008年から毎年レポートされており、今年はグローバルで5500、日本の404の組織が参加。トラフィックログと数10億件にのぼる脅威ログが収集されており、サイバー攻撃と企業ネットワークで利用されているアプリケーションとの関係が詳細に分析されている。
2014年度版(2013年3月~2014年4月)に関しては、米パロアルトネットワークスのシニアプロダクトマネージャーである菅原継顕氏が日本での動向を中心に説明した。
米パロアルトネットワークスのシニアプロダクトマネージャー 菅原継顕氏
日本での調査でまず明らかにされたのは、使用頻度が高い一般的な共有アプリケーション(メール、IM、SNS、ファイルやビデオ共有)は、もたらされる脅威が多い割には、活動の種類が少ないということ。全脅威のうち17%が一般的な共有アプリケーション内のコード実効エクスプロイトになるという。
とはいえ、最近ではユーザーのPCに送り込まれるボットが高機能化しており、コントローラーの指示に従って実に巧妙な偽装を行なう。盗んだペイロードを暗号化するのはもちろん、FacebokやWebブラウジングのような通常のアプリケーションに偽装してデータを送付する。そのため、「ビジネスに合わないアプリケーションは使わないという判断が必要。でも、ルールでは禁止できないので、ファイアウォールなどできちんと禁止する対応が必要」(菅原氏)。
また、グローバルで猛威をふるっているにもかかわらず、日本ではほぼ見つかっていないマルウェアとして紹介されたのが、ZeroAccessだ。金銭目的のZeroAccessはで脆弱性を突いて侵入したあとに、コントローラーからの指示に従い、広告クリックやスパムメールの送信などを行なう。特徴的なのは感染したPCのCPUリソースによってビットコインのマイニングを行なうこと、さらにボット同士でP2PのUDP通信が行なわれるため、コントローラーとの通信がきわめて見つけにくいことが挙げられる。「UDPは動画の配信で用いられることが多く、気にするところが少ない。日本の企業では対策が後手も回っていることが多い」(菅原氏)。現在は単に日本が標的となっていないだけだが、今後は上陸する可能性がある。
グローバルで猛威をふるう「ZeroAccess」の動作概要
前述したとおり、ZeroAccessは猛威をふるっていることは、トラフィック面でも明確だという。日本ではマルウェアの活動がWebブラウザ、SSL、DNS、GoogleAnalysticの4つのアプリケーションで行なわれているのに対し、海外では実に99%近くをZeroAccessと見られるUnknown-UDPで占められている。
さらに脆弱性を突く攻撃は、ほぼ10個のアプリケーションに絞られており、DNS、SMB、SIPなどのブルートフォース攻撃が主な手法。特に日本ではIP電話で利用されているSIPの割合がきわめて高いという。また、レコードを指定せずDNSの問い合わせを行なうDNS ANYクエリを用いた攻撃も増えており、セキュリティ設定の甘いサーバーが問い合わせ元と異なるターゲットに対して、数多くのリストを送ってしまう攻撃が増えている。
まさに痛し痒しのSSL
今回注目を集めたのが、Hearbleedの脆弱性でも大きな問題となったSSLだ。SSLはインターネットのセキュリティを守る基本技術でありながら、悪意のあるソフトウェアの操作やデータの隠ぺいにも用いられる。つまり、SSL自体がよい面と悪い面を持っており、両者をきちんと判断する必要が出てきている。
SSLのよい面、悪い面
たとえば、PCのリモート操作を可能にする「TeamViewer」は多くのユーザーが日常的に利用しているアプリケーションだが、「TeamSpy」というマルウェアはこのTeamViewerを内部に取り込んで、通信を偽装し、情報の盗難を行なっている。TeamViewerも通信にSSLを使っており、ポートホップやデジタル署名も用いられているが、既存のファイアウォールやIPSでは悪意のあるデータ通信か見極められないことになる。
TeamViewerを悪用するマルウェア
とはいえ、SSLへの信頼は厚く、国内で確認されたアプリケーションの36%はSSLの暗号化を使用しているという。しかし、接続先は先日来大きな問題となっているHearbleedのパッチを当てていないこともありえるため、しばらくの間はパスワードの変更やフィッシング詐欺への警戒が重要だという。
パロアルトもファイアウォールからエンドポイントへ
さまざまな脅威が猛威をふるう中、パロアルトも次世代ファイアウォールによって全トラフィックを精査し、既知の脅威をブロックすると共に、未知の脅威をクラウドに送信し、迅速な脅威への対策を実現している。また、SSLの通信も復号化を行なった後、スキャンするといった処理を行なう。
しかし、最終防衛ラインであるエンドポイントのアンチウイルスソフトでは、標的型攻撃やエクスプロイトに対する対策は万全ではない。そのため、今後パロアルトネットワークスでは、モバイルやエンドポイント製品を強化していく方針だという。
