新型コロナウイルス関連の攻撃動向も披露

フォーティネット、AIによる脅威分析製品「FortiAI」とペネトレーションサービス投入

文●大河原克行 編集●大谷イビサ

  • この記事をはてなブックマークに追加
  • 本文印刷

 2020年3月26日、フォーティネットはプレス向けのオンライン発表会を開催。AIの活用により、高速に脅威分析を可能にする「FortiAI」を発表するとともに、国内向けに新たにペネトレーションテストサービスを開始することを発表した。その他、発表会ではFortiGuard Labsによる「脅威レポート」の2019年第4四半期版(2019年10月〜12月)の内容や、新型コロナウイルスに関するサイバーセキュリティの動きについても説明した。

FortiGuard Labsの知見をAI化したアプライアンス

 FortiAIは、2Uラックマウントのオンプレミスアプライアンスとして提供するもので、同社の調査研究組織であるFortiGuard Labsに蓄積されたサイバー攻撃に関する分析と知見をもとに、AIを活用してリアルタイムに適用し、脅威への対策が可能になる。

 フォーティネットジャパン FortiGuard Labs セキュリティストラテジストの寺下健一氏は、「AIを活用するという点では新しいものではないが、専門家がマルウェアを分析する経験やテクニックを、AIによって再現することができるようになったことで製品化した。FortiGuard Labsが開発した業界最高レベルの成熟度を誇るサイバーセキュリティ用のAIを、組織のネットワークに直接組み込むことで、脅威を高速に検知できる。専門家によるサポートとともに、顧客環境で発生したセキュリティインシデントを即時にサポートでき、検査にかかる時間も、数日から数時間単位であったものが、数分から数秒で済む。すでに大手企業から引き合いがある」と語る。

FortiAIの概要

 FortiGuard Labsでは、世界31カ国に200人を超える脅威研究者とアナリストを配置。グローバル脅威インテリジェンスおよびコンテキスト分析を提供することをミッションとしている。1日に約1000億以上のセキュリティイベントを分析。フォーティネット製品向けに最新の実用的な脅威インテリジェンスを生成し、最新の脅威特定情報と保護対策を提供しているという。

 FortiAIでは、ここで得られた知見をもとにした自己学習型のディープニューラルネットワーク(DNN)を用い、脅威の修復を高速化するVirtual Security Analystを実現。時間のかかるセキュリティアナリストの手作業タスクを自動処理するとともに、自己学習能力により、組織のネットワークに導入後も独自に進化を続けるのが特徴だ。

「FortiAIは、DNNを活用することで調査を自動化し、脅威のあらゆる動きを特定し、感染を素早く見つけ出す。マルウェアの新たな機能を学習することで、新たな攻撃にも即座に適用し、誤検知も低減できる。そして、マルウェアに感染したデパイスを発見するだけでなく、最初に感染したマルウェアの発生元も追跡できる。マルウェアの検知率は99.9%以上となっており、レスポンスの遅れを解決し、データ侵害やセキュリティインシデントなどのリスクを低減できる」(寺下氏)。さらに、「他の製品との連携も可能であり、FortiGateを使っているユーザーであれば、検出した未知の脅威を検出し、ブロックするといったことが可能になる。今後は、サードパーティーとの連携も視野に入れている」とした。

 オンプレミス向け製品として提供しているのも特徴の1つ。政府機関や大手企業などにおいて、法規制やセキュリティポリシーにより、閉じられた環境での運用を前提としている場合にも、FortiAIの学習や成熟度の向上にインターネット接続が必要ないため、つねに最新の脅威に対応できるほか、顧客の環境でも独自の学習を続けて進化させることができるという。現時点では、FortiAIをクラウド対応のサービスとして提供する予定はないとした。

 また、FortiGuard ペネトレーションテストサービスは、脆弱性に関するテストを行ない、その結果をレポートし、問題に対処するためのソリューションを提案する。FortiGuard Labsの知見を活用した新たなサービスと位置づけている。具体的には、FortiGuardの専⾨家が直接対応し、⾃動化ツールと経験に基づくマニュアル診断を実施。実際の侵⼊をシミュレートする⽅法を使⽤し、脆弱性や不適切な実装を明らかにする。また、エグゼクティブレポートにより、診断および調査結果、技術的な推奨事項を提案。サービス提供後には、適切に対処が実施されたことを確認するという。

FortiGuard ペネトレーションテストサービスと脆弱性アセスメント

 寺下氏は、「グローバルのゼロディ脆弱性調査チームが持つ豊富な経験を生かしたものになる。同チームは、これまでにも報告されていない脆弱性を見つけると、メーカーに報告し、セキュリティパッチの開発を依頼するといったことも行なってきた。また、日本国内のリサーチャーとの連携により、日本語によるテストサービスの提供、フォーティネットが持つ長年のネットワークセキュリティソリューションの実績が、他社にはないアドバンテージになる」とアピールした。

新型コロナウイルスに便乗した攻撃も続々登場

 一方、FortiGuard Labsによる「脅威レポート」の最新版の内容についても説明した。

 2019年第4四半期版では、サイバー犯罪者は、デジタルインフラストラクチャー全体で、あらゆる攻撃の機会を狙っているだけでなく、さらなる成果の達成のためにグローバル経済や政治の状況を最大限に活かそうとしていることが明らかになったという。また、攻撃の巧妙化や自動化が進展。国ごとに攻撃する内容が異なったり、脅威の流行り、廃りが速いことを指摘。「脅威がかつてないほど急速に拡大しており、サイバーセキュリティ対策に優先して取り組むことが世界中で急務となっている」と寺下氏は語る。

 説明では、ThinkPHP、vBilletin、Joomla!、Drupal、WrodpressといったCMS関連の攻撃が増加していることを示したほか、前四半期には、HTML/Framerがもっとも猛威を振るっていたが、その対策が広まってきたことで、最新四半期ではもっとも低い攻撃量になっていることを示した。

 そのほか、マイクロソフトのRDP(Remote Desktop Protocol)に存在する重大な脆弱性であるBlueKeepを悪用する機能が、EternalBlueダウンローダーに追加されたこと、新たにCoronaBlue(SMBGhost)と呼ばれる脆弱性がSMB(Server Message Block)に発見されたことを指摘。「マイクロソフトが、3月の月例セキュリティ更新プログラムにパッチを含む予定であったが、それを行わず、脆弱性の情報だけが先に出てしまったため、パニックに近いことが起こりかけた。だが、マイクロソフトもすぐにパッチを提供することで対策が取られている。とはいえ、企業ではパッチの適用などの対策が取られていない場合もある。第2のWannaCryとなることも危惧される」と警告した。

 さらに同社では、新型コロナウイルスに関連した新たなサイバーセキュリティの動きについても言及。「新型コロナウイルスに関連して、韓国語やイタリア語で書かれたフィッシング攻撃が増加している。なかには、北朝鮮が支援するサイバー集団の関係性も見られる。WHOのロゴや、FedExをはじめとする物流企業など、新型コロナウイルスの感染拡大に伴い、関心が高まる機関や企業などのロゴを偽って表示しているものもある。また、2月の時点から、日本語を使った攻撃も見られ始めており、注意が必要である。こうした攻撃に対して行うべき対策は、通常と変わらない。疑わしいものは添付ファイルを開かないこと、スパムフィルターによるフィルタリングを活用することとなどが有効である。改めて社員に対するトレーニングを行なうことも必要である」とした。

 2月以降、新型コロナウイルス関連を装ったドメインが、新規に1万件以上も登録されているとのこと。「そのうちの約2割が、すでにフィッシングサイトなどで悪用されている。また、66%のドメインが、まだなにに利用されるのかがわからない。これらのドメインの多くが悪用されるために取得された可能性もある」(寺下氏)。

新型コロナウイルス関連を装ったドメイン

 同社では、企業としての対応として「新型コロナウイルスと同様に、新型の攻撃やゼロディの脆弱性に備える」「世間で騒がれている情報に惑わされず、正しく情報を仕入れ、有効な対応を検討する」「セキュリティの⾒直しを含めたBCPの振り返りを行う」といった対策点を挙げている。寺下氏は、「未知の脆弱性、未知の攻撃への対策を行なうためには、フィルターやパッチでの対策を行うのがいい。未知のものに対して、それらがない場合には、怪しいサイトにアクセスしない、ネットワークのセグメンテーションを行うなどの減災策を取る必要がある。新型コロナウイルスの拡大にあわせて、在宅勤務が増え、BCPも重視されている。セキュリティ対策を見直すきっかけになる」などと述べた。