次世代ファイアウォールはどのようにマルウェアを撃破する？

2012年06月21日 06時00分更新

文● アスキードットPC編集部

感染したホストを次世代ファイアウォールで発見する

　企業のマシンは、不可抗力でマルウェアに感染することもある。たとえば、新しい種類のマルウェアや未知の経路、USBメモリなどからである。マルウェアには充分な時間が与えられていて、繰り返しになるが、もっとも厳重なセキュリティを持つシステムにも感染することができる。

　このため、エンドポイントが感染することを想定しておくのは賢明であり、ネットワーク中の感染したエンドポイントを探すスキルが必要になる。これは困難な作業になる可能性がある。たとえば、あるボットが伝統的なマルウェアシグネチャチェックをすり抜けて、すでに感染したマシンのルートレベルアクセスを取得していると想定してみよう。

　感染したマシンをピンポイントで見つけるには、マルウェアのシグネチャから意識を切り替えなければならない。そして、ネットワーク上で、通常と異なる挙動や、未知の挙動を解析する必要がある。通信は、ボットネットの強みでもあり、弱点でもある。ボットが機能するためには通信をしなければならない。そして、通信の発見や追跡を難しくしなければならない。これらの基本的な要件から、通常のネットワークトラフィックと比較して、ボットのトラフィックや動作を特定するのに使えるパターンを作成できる。これは、ボットが最新のもので知られていなくても有効な手立てである。

命令と制御のトラフィックを発見する

　次世代ファイアウォールの大きな利点の1つに、アプリケーションレベルでの潜在的に複雑なストリームを分類できる機能がある。この機能は、トラフィックの内容を上位階層から順次スキャンし、プロトコルの中のプロトコルをむき出しにして、真の根本にあるアプリケーションを同定する。

　複雑なトラフィックを特定する能力は、ボットネットのユニークな命令と制御のトラフィックを検出するのに重要である。事実上ほとんどのボットネットはアプリケーションであり、そのユニークなトラフィックは真の次世代ファイアウォールであれば特定することができる。

追跡と分析の自動化

　前節で説明したテクニックは重要だが、多くの組織では手動での調査を行う時間はないだろう。次世代ファイアウォールは、インテリジェントな機能を使って追跡と分析を自動化できる。洗い出しでチェックされるのは、まず、未知のTCP/UDPである。ボットネットトラフィックはしばしば暗号化されており未知である。未知のTCPとUDPの挙動を追跡すると、ボットが感染しているマシンを発見する糸口となる。次に、ダイナミックDNS（DDNS）である。マルウェアはしばしば、DDNSを使って、感染したマシンところころ変わるIPアドレスとの間で通信を行う。これはボットの本当の発信源や送信先を追跡するのをきわめて困難にするためのものだ。

　既知のマルウェアサイトとの通信を監視する機能もある。次世代ファイアウォールのURLフィルタリングエンジンは、意図せずに、あるいは意図的にマルウェアをホストしているサイトをつねに追跡する。登録されて間もないドメインの監視もする。ボットネットは、動き回ることで検出や回復から逃れようと、新しいドメインを使うことがしばしばある。新規に登録されたドメインを頻繁に訪問することは、決定的ではないが、感染の証拠と考えることもできる。ドメイン名の代わりにIPアドレスを使うことも監視する。ボットは、わかりやすいURLアドレスを好んで使う通常のユーザー（人間）とは異なり、IPアドレスを使うことがある。IRCトラフィックも監視対象だ。IRCのトラフィックは、ボットネットが通信に使う手段としてもっともよく知られているもので、ボットが感染していることの証拠の1つとして取り上げられる。

■関連サイト

前へ 1 2 3 4 次へ

ツイートする

カテゴリートップへ