次世代ファイアウォールはどのようにマルウェアを撃破する？

2012年06月21日 06時00分更新

文● アスキードットPC編集部

サーカムベンタの使用を防止する

　一般的なエンドユーザーとWeb 2.0アプリケーションは、マルウェアに取り込まれて企業への攻撃に使われることがある。同様に重要なのは、ある種のアプリケーションは、事前に伝統的なネットワークセキュリティを回避するように設計されていることだ。このようなアプリケーションとしては、リモートデスクトップテクノロジ、プロキシ、目的に応じて作成されるサーカムベンタなどがある。これらのアプリケーションの一部は正当なビジネスに使われるが、それ以外のものは、無許可で危険な動作をする確かな兆候がある。管理されていない脅威が企業に入り込むのを避けるため、これらを緊密にコントロールする必要がある。

・リモートデスクトップ

　リモートデスクトップテクノロジは、エンドユーザーとITサポートチームでよく使われる。多くのウェブ会議アプリケーションはユーザーのマシンをリモートコントロールする機能を追加している。このテクノロジは2つの重要なリスクをもたらす。

　1つは、いったんユーザーがリモートPCに接続すると、そこからどんな場所へも接続できるようになり、ファイアウォールによるトラフィックの検査なしにどんなアプリケーションも使用できることである。セキュリティ部門が設定した迂回路の他に、リモートデスクトップは、ユーザーはあらゆる種類のリスクの高い操作を実行可能で、その結果はトンネルを通じて企業内のマシンに戻ってくるという、管理されない脅威の経路が開かれる。

　もう1つは、無許可のユーザーに、信頼できるエンタープライズネットワーク内のマシンにフルのアクセス権を与えてしまう危険性があることだ。この種のリモートコントロールは、マルウェアの第1目標の1つと合致し、侵入を引き起こす危険な機会を創出してしまう。Verizonの2011 Data Breach Investigations Reportによると71パーセントの侵入と27パーセントの情報消失はリモートアクセスが原因とされている。

　一般のアプリケーションは、企業の中で正当な方法で使っていても、不適切な方法で使用したり、無許可のユーザーや不慣れなユーザーが使ったりすると、意図しない弱点を作り出すことがある。たとえば、多くのIT部門はSSHを使ってシステムや企業のデータセンタの管理を行っている。データセンタにトンネルを開設すると、SSHは直接、企業のもっとも重要な資産に一切の管理なくアクセスができてしまう。これらのアプリケーションは厳密に制御しなければならず、特定の個人にのみ許可し、綿密にモニターしログをとる必要がある。

・その他のサーカムベンタ

　最後に、さまざまなウェブプロキシや暗号化されたトンネリングアプリケーションが開発され、ファイアウォールやその他のセキュリティインフラストラクチャを通したセキュアで匿名の通信が可能になってきた。CGIProxyやPHProxyなどのプロキシテクノロジは、企業の制御を回避してセキュアかつ自由にウェブを閲覧できるようにするもので、企業のネットワークの75パーセントで見つかっている。

　さらにUltraSurf、Hamachi、Torなどのアプリケーションは、セキュリティインフラストラクチャを通過するために作られ、発見を逃れるため定期的にアップデートされる。これらのアプリケーションを企業内で正当に使っているユーザーは少数で、一般的にこれらのアプリケーションの存在は何者かが企業のセキュリティから逃れようとしていることを示している。

　これらのツールはトラフィックの検査を免れるだけでなく、リスクの高い操作をするために使われている。たとえば、ファイル共有、特別に保護されたコンテンツやサイトへのアクセスなどで、同時に、マルウェアの感染というきわめて高いリスクを持ち込むこともある。これらのアプリケーションは、ほぼすべての場合ブロックすべきである。

　サーカムベンタの使用を防止するには、リモートデスクトップの使用をITサポート人員などに制限し、SSHをセキュアに運用する一方、SSHトンネリングは禁止、UltraSurfやHamachiなどの無許可のプロキシや暗号化トンネルをブロックするなどの対応を取る必要があるだろう。

リモートユーザーの保護

　伝統的な企業ネットワークのトポロジは、いったん整備されるとネットワークの外側と内側にはっきりとした境界ができる。しかしながら、企業のコンピューティングの進化にともない、ネットワークが企業の物理的な境界の外まで広がるようになった。今日、ユーザーは企業のネットワークに事実上あらゆるデバイス、たとえば、ラップトップやスマートフォンから接続して、文字通りどこでも仕事ができるようになることを望んでいる。

　このことは、非常に難しいセキュリティの問題を引き起こす。企業のセキュリティインフラストラクチャとポリシーの大部分は、ユーザーが企業ネットワークの物理的境界の内側にいるときにしか適用できないからである。問題を難しくしているのは、ユーザーの行動は、オフィスの外にいるときにリスクが高い行動をしがちで、無意識に個人的なブラウジングやアプリケーションの使用を、自宅にいるときと同様に行ってしまうことだ。このような行動は、危険なリンクをクリックしたり、悪意のあるドライブ・バイ・ダウンロードを行うサイトを閲覧したりする可能性を大きく増加させるのだ。

　リモートユーザーを保護するには、ユーザーの場所にかかわらず、企業全体で定めたファイアウォールの設定と脅威の回避を行い、ドライブ・バイ・ダウンロードからの保護を有効にし、セキュアな企業内システムからのリモートダウンロードを禁止するなど、ユーザーの場所に応じたポリシーを確立する必要がある。

不明な対象の調査

　企業がポジティブコントロールに戻り、ネットワーク上のトラフィックが正当なものかどうか分類できるようになったら、その他の不明なトラフィックを調べられるようになる。ボットネットは、ユニークな振る舞いをすることと、専用の暗号化を使用しているため、「不明」なトラフィックとして検出される。

　伝統的なファイアウォールは許可されたポートを使うすべてのトラフィックを通過させるが、次世代ファイアウォールは、ネットワーク上の不明なトラフィックを見つけ出し分析する機能を提供している。同じクライアントマシンから定期的に送信される不明なトラフィックは、それが認識されていない正当なアプリケーションから発生しているものなのか、それともマルウェアの感染なのかを調査して見極めなければならない。セキュリティチームはトラフィックがどこに向けられたものなのかを調べることもできる。トラフィックが悪意のあるウェブサイトやソーシャルネットワーキングサイトに向けられたものなのか、送信は定期的に行われるのか、何者かが未知のURLに対してファイルのダウンロードやアップロードを試みていないか、などを調べることができる。

　これらの動作のいずれも、クライアントマシン上にボットが存在する可能性を示している。次世代ファイアウォールを使えば、ネットワーク上のトラフィックを正確に同定でき、「不明」のトラフィックはぐっと少なくなり、したがって、悪意のあるボットネットトラフィックは迅速に発見し分析することができる。

　次世代ファイアウォールは不明なトラフィックを解析するだけでなく、不明なファイルをサンドボックス環境（隔離された実験用の環境）で解析して、マルウェアの悪意のある行動を特定できる。これにより、不明なファイルと不明なトラフィックに集中することができる。ネットワーク上の不明なものは調査し、同定し、管理しなければならない。不明なトラフィックは、以下の手順で、すみやかに、かつシステマチックに管理できる。

　まず、ファイアウォールのポリシーを適用し、すべての不明なトラフィックをブロックするか、通過させたうえ検査するかを決める。次に、ネットワーク上にどのような内部アプリケーションがあるのか調べ、アプリケーションによるオーバーライドを適用するか、カスタムのシグネチャを作成する。さらに、不明または疑わしいファイルはサンドボックスで解析して、悪意のある動作を明らかにする。また、パケットキャプチャ（PCAP）を使って不明なトラフィックを記録し、セキュリティベンダに送信する。そして、ボットネットの挙動レポートやレポートツールを使って、トラフィックが脅威なのかそうでないのかを決定する。

　無許可のユーザーの存在やボットネットの活動が疑われる「不明」トラフィックを調査するには、不明トラフィックの送信元、送信先、通信量を追跡し、URL、IPS、マルウェア、ファイル転送レコードの間の相関を調べる。必要に応じて、内部アプリケーション、カスタムアプリケーションすべてに、カスタムアプリケーションIDを定義し、パケットキャプチャ（PCAP）をセキュリティベンダに送付して、さらに詳細な解析と同定を行う。

前へ 1 2 3 4 次へ

ツイートする

カテゴリートップへ