誰もハッカーに対抗する術を持っていないから起業した
「そのカメラはニコン? 残念、僕はキヤノンなんだ。Wireless TTLフラッシュトリガーは使ってないの? 今日の撮影では持ってきてないのか。おーぅ」。
興味津々にカメラマンに話しかけ、少年のような笑顔を見せる、ジュニパーネットワークス カウンターセキュリティ バイスプレジデント&GMのデビッド・コレッツ(David Koretz)氏。14歳のときに起業して以来、6つの会社を起ちあげてきた同氏は、ジュニパーネットワークスが2012年2月に買収完了したMykonos Softwareの元CEO。常識の“斜め上”を行く発想でセキュリティ業界に革新をもたらす若きハッカーだ。
Counter Security部門 バイスプレジデント&ジェネラルマネージャー デビッド・コレッツ氏
ジュニパーネットワークスは今年4月、データセンター向けセキュリティソリューションを発表した(関連記事)。攻撃者をリアルタイムに検知する「Juniper WebApp Secure」、WebApp Secureで検知した攻撃をベースに防御するアプライアンス「SRXシリーズ サービスゲートウェイ」、これら製品と連携して攻撃者情報を提供・共有するクラウドサービス「Spotlight Secure」である。
本ソリューションの肝となるのが、WebApp Secureと、同製品に組み込まれた「Intrusion Deception」技術および「Global Digital Fingerprinting」技術だ。これは、Mykonos Software社が開発した製品(旧Mykonos Web Security)で、コレッツ氏はその開発の中心人物にあたる。
コレッツ氏がセキュリティについて考え始めたのは、企業向けのWebメールコラボレーションシステムを提供するBlueTieを設立し、しばらく経ったころだ。数百万ユーザーを抱えるまでに成長した同社は、あるときからひんぱんにハッカーの攻撃を受けるようになった。「個人情報を狙った中国のハッカー、クレジットカードや金銭関連のデータに興味を示す東欧のハッカー、果ては浮気の疑いがある配偶者や恋人のメールを盗み見ようとする人など、“攻撃者”はさまざまだった」(コレッツ氏)。
当時コレッツ氏は、どのIT企業もこうした攻撃に対する独自の解決策を持っているのだろうと考えていた。しかし、オランダでとある講演会に登壇し、政府機関や金融機関、Eコマース会社など250社が集まる会場でハッカー対策をしているかと質問したところ、誰ひとりとして手を挙げなかった。
「ビジネスがネットを基盤に展開され、個人情報にもアクセスできる時代なのに、自らを守る方法について誰も答えを持っていない。この奇妙な現状を解決したい」。コレッツ氏は会社を退任し、ハッカー時代に知り合った約10名の腕利きハッカーとともにセキュリティ企業のMykonos Softwareを設立、製品開発に乗り出した。
“ニセの侵入口”で攻撃者を欺くIntrusion Deception
コレッツ氏は、まず根本的な攻撃者対策が存在しない理由について考えた。そして出した結論は、「当時も現在も、セキュリティ業界はシグネチャーベースの防御にとらわれている」ことだった。過去の攻撃を定義し、その情報を元に防御するシグネチャーベースは未知の攻撃に対処できない。にもかかわらず、セキュリティ業界は後者への対策を強化する新たな仕組みが打ち出せないでいる。
「OWASP(Webアプリケーションセキュリティに関する国際組織)では毎年Webアプリケーションの脅威のトップ10を発表しているが、2005年と2013年のリストはほぼ同じなんだ。つまりセキュリティ業界は8年間、ずっと同じ課題を抱えたままということ」(コレッツ氏)。
それを知ったとき、あるアイディアが脳裏をよぎった。「未知の攻撃とはいえ、攻撃者の手法や手口は古今東西、それほど大きく変わっていない。ということは、敵を可視化/掌握することは可能なはずだ。しかも、攻撃者の多くは金儲けが目当て。となると、侵入行為にかかるコストや時間が攻撃で得られる『儲け』を上回るような仕組みを作れば、攻撃者を撃退できるかもしれない」(コレッツ氏)。
ここで課題となるのは「誤検知」だ。侵入を意図した振る舞いを正確に判別できなければ、正規のユーザーを誤ってブロックしてしまうことになる。試行錯誤の末、生まれたのが「Intrusion Deception技術」と「Global Digital Fingerprint技術」である。
Intrusion Deceptionでは、侵入をもくろむ攻撃者が必ず調査するであろう個所に複数の“偽の情報”を用意する。たとえばセッションハイジャック攻撃を行うならば、攻撃者はURLストリングとCookieのセキュア属性の両方をチェックする。通常のユーザーは、その両方を見るようなことはしない。置いてある偽のCookieに食いついたら、その人物が攻撃者である可能性は非常に高い。
さらに、攻撃者は効率的に儲けるために「Metasploit」「GrendleScan」「O2」などの攻撃ツールを利用する。こうしたツールも検知できるようにして、あとは網に引っかかるのを待てばよい。たとえば、ディレクトリトラバーサルのぜい弱性を探す攻撃ツールに対して、WebApp Secureは延々と“ゴミ情報”を読み込ませるようなトラップを用意している。攻撃ツールを実行して30秒後、ツールの画面には「処理完了まで1時間」と表示されるが、2分後には「処理完了まで80日間」、5分後には「処理完了まで2~3年」と表示されるという寸法だ。
「アメリカのB級映画では、最後は武器を捨てて素手で勝負するシーンがある。Intrusion Deceptionが最終的に実現するのは、まさにそれだ。攻撃者にツールを捨てさせて、時間のかかる手作業に追い込むんだ。時間とコストをかけさせることで『経済的な』攻撃手法を無力化させる」。ただじっと防御するだけでなく“相手に一杯食わせられる”というのはユーザー企業にとっても痛快だろう、とコレッツ氏はいたずらっぽく笑う。
(次ページ、クラウド型“お尋ね者リスト”のGlobal Digital Fingerprint)
