最新セキュリティ製品で標的型攻撃を防げ! 第10回
Operation Auroraを止めたシグネチャーレスのセキュリティ製品
標的型攻撃からの防御に特化したFireEyeのメカニズム
2012年12月04日 06時00分更新
FireEyeシリーズは標的型攻撃の防御に特化したセキュリティ機器。ファイアウォールやアンチウイルス製品で防げない未知の攻撃を解析し、シグネチャを動的に生成するというユニークなメカニズムを持つ。
既存のセキュリティ機器では標的型攻撃は防げない
昨今、サイバー攻撃がセキュリティ製品をすり抜けるべく巧妙化し、既存のファイアウォールやアンチウイルス製品で手に負えなくなってきているのはご存じの通りだ。米ファイア・アイのFireEyeシリーズは、既存のセキュリティ装置を補完し、標的型攻撃の防御を実現するユニークな製品だ。「現状、標的型攻撃の防御にここまで絞った製品はうちしかない。その意味ではコンペティターはいません」と語るのは、ファイアアイ日本法人 シニアシステムズエンジニアの小澤嘉尚氏だ。
FireEyeが防御の対象とするAPT(Advanced Persistent Threat)やスピア型フィッシングと呼ばれる標的型攻撃は、特定の企業をねらい打ちにするため、攻撃やマルウェアのサンプルを分析し、シグネチャを生成・配信するという方法が通用しない。また、Webやメール経由で拡がる最新のマルウェアは、脆弱性等を突く悪意のあるコードがいったんPCに潜んで、あとから本体をダウンロードするという動作を行なう。
小澤氏は、「マルウェアがC&Cサーバーにコールバックし、外部からダウンロードできるようになってしまうのが大きな問題。最近ではURLも使い捨てになっているので、レピュテーションが通用しない」と話す。FireEyeのコンセプトは、こうしたコールバックを封じ込め、マルウェアを孤立させることだという。
独自のWindows仮想マシンで
疑わしいファイルを動作させる
FireEyeはWeb用のWeb MPS(Malware Protection System)、メール用のMail MPS、ファイルアクセス用のFile MPSなどのアプライアンスが用意されており、これらをCMS(Central Management System)が一元管理する構成となっている。
FireEyeではパケットキャプチャとサンドボックスを組み合わせた独自の「VXエンジン」により、2段階の防御プロセスで標的型攻撃に対応する。
1段階目では外部から内部、内部から外部のやりとりをパケットキャプチャし、ユーザーに届くことになるファイルを再現。クラウド型のアンチウイルスシステムで精査し、怪しいファイルを検出する。「IPSに似ているが、通常のIPSでは誤検知を防ぐためにヒューリスティック検知が、ほどほどレベルに設定されている。FireEyeはヒューリスティックを最高レベルに上げており、マルウェアの怪しい挙動を捕捉できる」(小澤氏)とのことで、アラートを出したり、悪意のある通信を遮断することも可能だという。
そして、2段階目のVxEでは怪しいと認識されたファイルを、アプライアンス内の仮想マシン環境で実行する。仮想マシン環境には、Windows PCだけではなく、仮想のWebサーバーやDNSサーバー、C&Cサーバーなどが用意されている。また、仮想のWindows PCにはOfficeソフト、Internet Explorer、Firefox、Acrobat、Javaプラグインなどがインストールされている。実際の動作を再現し、アプリケーションの脆弱性をついた攻撃や悪意のある挙動を検出できる。ユーザーと同じ環境で動作を試すという意味では、研究所などで行なう人的なオペレーションをアプライアンスが代替しているようなイメージだ。
こうした「サンドボックス」は他社製品でも用いられている技術だが、「最近ではVMware上で動作していることを検知すると、動作を止めてしまうマルウェアもある。その点、FireEyeでは独自のWindows仮想マシンを使っているので確実。EXEファイルだけではなく、怪しいスクリプトも実行できる」(小澤氏)とのこと。単一の動作だけではなく、複数の動作を加点するというメカニズムにより、マルウェアを判断しているため、精度も高い。また、クラウド上ではなく、ローカルで検体を動作させているため、パフォーマンスへの影響が小さいのも大きな売りだという。
こうしたFireEyeの2段構えの標的型攻撃対応により、GoogleやYahoo!はじめ30箇所近い大手Webサイトが標的となった「Operation Aurora」もきちんと遮断したという。「防衛関係の機関のほか、大手ITベンダーも顧客に名を連ねている。レガシーのセキュリティ機器では対応できないことを顧客のITベンダーは理解している」(小澤氏)とのことで、既存の標的型攻撃対策に限界を感じているユーザー、ビジネス資産の漏えいや搾取に対してセンシティブなユーザーがいち早く導入を進めているという。
日本法人も2012年2月に設立。マクニカネットワークスを中心としたパートナー経由での販売体制を堅持しつつ、マーケティングやサポートにも注力していくとのことだ。

この連載の記事
-
第20回
TECH
標的型攻撃には相手の“やる気”を削ぐのが一番! -
第19回
TECH
日本ラッド、タイガーチームサービスの脆弱性診断開始 -
第18回
TECH
2社に1社はボットに感染!チェック・ポイントのレポート -
第17回
TECH
各国から攻撃! おとり水道制御システム、公開18時間で標的に -
第16回
TECH
次世代セキュリティ製品の不名誉を返上するジュニパー -
第15回
TECH
マルウェア検知率100%を目指すマカフィーのサンドボックス -
第15回
TECH
標的型攻撃対策ではプロの常駐支援もあり? -
第14回
TECH
未知の脅威を防ぐ!サンドボックス搭載の新Software Blade -
第13回
TECH
ファイア・アイ創業者が語る国家レベルのサイバー攻撃 -
第12回
TECH
標的型攻撃を高精度で検出するNTT Comの「SIEMエンジン」 -
第11回
TECH
標的型攻撃に包括的な対策を提供するFortiOS 5.0 - この連載の一覧へ