7月28日、日本ラドウェアはIPS(Intrusion Prevention Sytem)である「DefensePro」に関する発表会を行なった。昨今、パターンファイルやシグネチャでは防げない攻撃が増えているが、DefenseProでは新開発のふるまい検知技術により、こうした攻撃も防げるという。
ゼロデイからゼロミニッツへ進化する攻撃
ラドウェアは、おもにレイヤ4~7までの階層で動作するADC(Application Delivery Controler)アプライアンスを扱うイスラエルのベンダー。今回の発表会ではIPSとDDoS攻撃の防御機能を搭載する「DefensePro」の特徴が紹介された。
ラドウェアというと回線冗長化装置「LinkProof」がよく知られているが、今後はこのDefenceProにも注力していくという。日本ラドウェアの秋元 正義氏は「先頃、米国や韓国などで猛威を振るったMyDoom.EAと呼ばれるボット感染を、先んじて行なわれていたRSAカンファレンスで予告していました。これはDefenseProがこうした攻撃を検知できていたからです」と検知技術の先進性を強調する。
秋元社長の話にも出たMyDoom.EAは、7月に起こった大規模攻撃を引き起こしたマルウェアで、感染した2~4万のホストから主要な政府機関や報道機関、銀行Webサイトに対してDDoS攻撃が仕掛けられた。MyDoom.EAに関して、ラドウェアのアビ・チェスラ氏は「サービスの脆弱性を利用せず、しかも正当なリクエストを使ってHTTPやSYN、UDP、ICMPフラッドの攻撃が行なわれた」と、攻撃が防げなかった理由を分析した。
また、マイクロソフトによる脆弱性の公開から数時間で攻撃が展開されたConflickerの例も引き出された。「数時間で一気に数100万台に感染してしまったので、われわれはゼロデイではなく、ゼロミニッツ攻撃と呼んでいます。こうした攻撃には、シグネチャも対応できませんでした」(チェスラ氏)。
DefenseProが
ふるまい検知で攻撃を防げる秘密
しかし、DefenseProであれば、他のベンダーで検知できない脆弱性を突かないような攻撃やゼロミニッツ攻撃でも検出できるという。これを実現するのが、シグネチャに頼らない攻撃の検出を実現する同社独自の「APSolute Immunity」というふるまい検知技術だ。
APSolute Immunityでは、ふるまいを検知し、異常な動作を検知したら、自動的にシグネチャを作成し、それを適用する。攻撃のパターンが変化した場合もシグネチャの最適化を行ない、攻撃が終わったらシグネチャを自動的に削除する。非常にインテリジェントで、手間なしのアプローチといえる。
既存のセキュリティ機器の場合、HTTPフラッドの攻撃を受けても、リクエストが正当であるためブロックができない。とはいえ、トラフィック量でしきい値を設けて接続数を絞ると、正当なトラフィックまで影響を受けてしまうという弱点がある。
しかしAPSolute Immunityでは、まず確立分析に基づいてWebページに対して予想を超えるヒットがあるかどうかを特定し、異常なユーザーのアクセスがあれば特定のページへのアクセスを制限する。たとえば、(人間の)ユーザーであれば、トップページからリンクされたニュースに飛んで、次に関連記事に飛ぶといった妥当性のあるページ遷移を行なう。しかし、機械的な攻撃の場合は、リンクの張られていないページ同士を次々とランダムにアクセスするような動作になるため、攻撃らしいと判断できるわけだ。また、1つの接続で多数のページを取得するような異常な挙動を検出し、接続に制限をかけることも可能だという。
こうしたふるまい検知に対応するDefenseProはIPSとふるまい検知の機能の有無、そしてパフォーマンスによって3つのハードウェアプラットフォーム・8モデルが用意されている。同社特有の「OnDemand IPS」という仕組みにより、ハードウェアプラットフォームを買い換えず、ライセンスキーの購入でパフォーマンスを向上できる。最高速のDefensePro 12412は12Gbpsのスループットを誇り、他社と比べて高いパフォーマンスがアピールされた。
参考価格は1GbpsのDefensePro 1016が824万円、4GbpsのDefensePro 4412が1649万円。昨今、IPS市場は高速ながら高価なハイエンド製品に片寄る傾向が見られるが、日本市場でもこの傾向は顕著だ。秋元氏は「中小企業ではIDS・IPSを統合したUTMを導入することが増えていることもあり、ターゲットは中堅以上の企業やサービスプロバイダ、データセンター、そして政府系や中央官公庁、研究機関などになると思います」とDefenseProの導入先や市場についてこう述べている。