マルウェアの中心的役割
攻撃の技術は進化している。なかでもマルウェアはハッカーが持つ攻撃手段や攻撃のライフサイクルにおいて中心的役割を担っている。攻撃者は、マルウェアを送り込む新しい方法を編み出し(ドライブ・バイ・ダウンロードなど)、マルウェアの通信を隠し(暗号化)、伝統的なシグネチャベースの検出(マルウェアに含まれた特有のコードを「サイン」として検出する方法)を回避する。
モダンマルウェアのライフサイクルは、どこまで狡猾に設計されているかに依存する。どのように感染し、潜伏し、検出されずに通信するかである。
残念ながらわれわれの、伝統的なマルウェアに対する意識では、マルウェアがあっても、それはどうせメールに添付された実行ファイルで、セキュリティソフトがすぐに発見してくれると思い込んでいる。モダンな脅威を理解し、制御し、対応していくためには、マルウェアだけではなく、システムの挙動にも注意を払わなければならない。
モダンな脅威のライフサイクルにおけるマルウェアの役割については、第2章でくわしく解説する。モダンな攻撃に立ち向かうにはいかに洗練されたマルウェアといえども弱点はある。次のような観点からマルウェアを観察していこう。
まず、通信は攻撃の生命線である。モダンな脅威とはネットワーク化された脅威であり、ネットワークを使って通信する必要がある。もし通信ができないと、攻撃は無力化される。 次に、検出する機会もいくつかある。モダンな攻撃のライフサイクルには複数のステップがあるという点から、脅威を特定したり対処したりするチャンスがある。
さらに、企業を狙う脅威というのはプログラムの機能ではなくフレームワークとして存在する。攻撃者は目標に感染し、潜伏し、通信し、ボットネット内のボットを管理し、ようやく攻撃対象をほしいままにできるようになる。脅威自体を、特定の要素としてではなく、広範囲なフレームワークとしてとらえなければならない。
脅威はそれぞれ得意な分野があるので、セキュリティ対策もまたそうあるべきだ。ファイアウォール、侵入防止、アンチウイルス、コンテンツフィルタリングなどのセキュリティ対策は、いわゆる多層防御を提供するため、それぞれが独立しているのが通常だ。しかしこの方法では、アプリケーションに隠れた脅威、脅威が存在するURLやウェブサイト、目標のシェルアクセスを可能とするエクスプロイト、支配下に入った目標を制御し利用するマルウェア、マルウェアのアップデートや情報の入手に使われるファイルの転送といった、複数の方向からの攻撃を防御するのは難しい。
図2 多層防御では防げない
セキュリティは、その守備範囲を広げなければならない。組織は、外向き、内向きの両方のトラフィックについて、ネットワークの範囲外にも目を光らせる必要がある(図2)。ネットワークをセグメント化し、次世代のファイアウォールを配置することで、外向き、内向き(リモートまたはモバイルアクセスを含む)のネットワークトラフィックを集中管理できるようになるだろう。
この連載の記事
-
第6回
TECH
最新セキュリティ技術WildFireとは? -
第5回
TECH
モダンマルウェア対策の基本方針とは? -
第4回
TECH
次世代ファイアウォールはどのようにマルウェアを撃破する? -
第3回
TECH
なぜ従来型のセキュリティ手法ではだめなのか? -
第2回
TECH
ボット、ボットネット、ボットハーダーについて知る -
TECH
モダンマルウェアの脅威と対策 - この連載の一覧へ
