アットマーク・アイティ @IT@IT情報マネジメント@IT自分戦略研究所QA@ITイベントカレンダー  
 
 @IT > スパイウェアもウイルスもスパムメールも eSafe GATEWAYにお任せあれ
 
@IT Special

 

PR

ゲートウェイでインターネットの悪意をブロック
スパイウェアもウイルスもスパムメールも
eSafe GATEWAYにお任せあれ

 スパイウェアが入ったCD-ROMが郵送され、実際にオンラインバンクの資産を盗まれたニュースがちまたを賑わせた。スパイウェアのみならず、ウイルスやスパムメールとインターネットからの悪意に晒されない日はないだろう。

 これらの悪意に対抗するツールが数多く登場している。もっとも普及しているのはクライアントPCに対策ソフトをインストールする方法だろう。なぜならば、先に挙げたような悪意はクライアントPCをターゲットにしているからだ。

 個人ユーザーであれば、クライアントレベルでの対策もいいだろう。インストールは1回で済むし、ウイルス定義ファイルなどのアップデートの手間もそれほど掛からないからだ。しかし、多くのユーザーを抱える企業ネットワークにおいてはどうだろうか?

 エンタープライズ版と銘打ったウイルス対策製品などのウリは、少ない管理者(1人しかいないこともしばしばだ)で多くのユーザーのPCにインストールされたソフトをコントロールすることだ。ユーザー全員、1人も残さず対策ソフトがインストールできるのか、インストールしたすべてのソフトの定義ファイルを最新版に保つことができるのか。

 実はクライアントPC以外に、インターネットからやってきて、そして内部ネットワークで何らかの悪さをして情報を持ち出そうとする悪意が通過せざるを得ない場所がある。それは企業ネットワークとインターネットをつなぐゲートウェイだ。株式会社アラジンジャパンの統合セキュリティ対策製品「eSafe GATEWAY(eSafe 5)」は、まさにゲートウェイでウイルス、スパイウェア、スパムメールなどを一網打尽にする製品なのだ。

 パターンファイルに頼らないプロアクティブな設計

 eSafeはウイルス定義ファイル、あるいはスパイウェア定義ファイルなどによるパターンマッチングに頼らない検知を目標にイスラエルで開発された。昨今では、ゼロデイアタックというキーワードに代表されるように、PCの脆弱性が発見されると、それを狙った攻撃手法(エクスプロイト)がほぼ同じタイミングで登場する。この結果、定義ファイルの更新が間に合わずウイルスに感染してしまう可能性がある。

小林秀行インターネットセキュリティチーム セキュリティエンジニア

 「ウイルス定義ファイルによる防御だけで、本当に大丈夫といえるでしょうか」。アラジンジャパン インターネットセキュリティチーム セキュリティエンジニアの小林秀行氏は問題を提起する。「定義ファイルを使ったパターンマッチング方式を否定するつもりはありません。しかし、それだけで安心とはいえません。そこで、eSafe GATEWAYのようなトラフィックを監視する製品が必要になってくるのです」。

 これはウイルス対策だけの話ではない。冒頭でも触れたCD-ROMで郵送されてきたスパイウェアの場合、特定のユーザーを狙い撃ちにした亜種(カスタマイズされたスパイウェア)が用いられた可能性が高い。それ故、スパイウェア対策ソフトを導入していたとしても定義ファイルが存在しないかもしれない。

 eSafe GATEWAYの場合、万が一、ネットワークに接続されたPCにスパイウェアがインストールされてしまったとしても、そのスパイウェアがPC内の機密情報を外部に送信しようとする行動を検知し、通信を止める。情報が漏えいしてしまうという最悪のケースを回避することができるのだ。

eSafe GATEWAYの主な機能

 では、スパイウェア、ウイルス、スパムメールに対するeSafe GATEWAYの具体的な防御能力をみていこう。

 4つのレイヤーでスパイウェアをブロック

 すでに述べたように、eSafeの特長はトラフィックを監視してスパイウェアによる外部への通信、あるいはインターネットからダウンロードされてこようとするスパイウェアをブロックすることだ。eSafeではスパイウェアに対して4つのレイヤーで防御を行う。

 1つ目は「ドライブバイ」ブロック。最近のスパイウェアは、セキュリティパッチを適切に当てていないPCやWebブラウザの脆弱性を突いて、ユーザーがスパイウェア配布サイトを閲覧しただけでPCに侵入してくる。このようなスパイウェアがドライブバイ型と呼ばれている。トラフィックを監視することで悪意のあるコードを検出し、自動インストールを防ぐことができる。

 2つ目は、「ダウンロード」ブロック。eSafeが持つURLフィルタリングの機能を応用して、スパイウェア配布サイトをブラックリスト化している。これにより、既知のスパイウェア配布サイトへの接続を禁止したり、ActiveXを悪用したスパイウェアのインストールを未然に防いだりできる。なお、ブラックリストは自動的に更新される。

 3つ目は、「シグネチャ」ブロック。いわゆるウイルス定義ファイル同様、既知のスパイウェアのパターンを解析し、ヒューリスティック技術を用いてスパイウェアをブロックする。

 4つ目は、「コミュニケーション」ブロック。すでに述べたように万が一スパイウェアがインストールされてしまったとしても、スパイウェアが外部に情報を持ち出そうとするのをブロックする。また、管理者はどのユーザーのPCにスパイウェアがインストールされたかを把握することができるため、スパイウェアの駆除に取り掛かることができる。

 なお、現在βテストが行われている「eSafe Spayware Neutralizer」を導入すれば、ネットワークを介して管理者がリモートでスパイウェア感染PCの除去作業ができる。クライアントPCには一切エージェントソフトなどをインストールしないため、エンドユーザーに知られることなくバックグラウンドでスパイウェアを駆除できる。また、検査や駆除を時間指定でスケジュール管理できるため、定期的なスパイウェア診断として利用することも可能だ。

 ウイルスの64%をプロアクティブに検知 

 インターネットの発展につれて企業のインターネットへの依存度も高くなってきた。その結果、企業のネットワークが大規模なウイルス/ワーム感染によってダウンすると、たちまちビジネスが立ち行かなくなってしまうこともしばしばだ。

 そこで企業はウイルス対策ソフトを導入して、パターンマッチングによる防御を行っている。しかし、エクスプロイトを使ったウイルスの発生期間は短くなっており、ゼロデイアタックも行われている。

 eSafeでは「XploitStopper」という技術を用いてメールやWebサイトに仕込まれた悪意のあるコードがセキュリティホールを悪用するのを防ぐ。これはIDS(不正侵入検知システム)やIPS(不正侵入防御システム)でも採用されている脆弱性パッチと同様の仕組みのセキュリティ技術だ。

XploitStopper

 イスラエルにあるアラジンの研究所を中心に脆弱性を解析し、ウイルスが発生する前に対策を講じている。その有効性だが、2004年に発見されたウイルス総数の約64%をウイルス定義ファイルを使わずに検知、ブロックすることに成功した。小林氏によれば「現在、このシステムのバージョンアップ作業が行われており、新バージョンでは検知率が80%まで向上します」という。

 法律で規制してもなくならない
 スパムメールもきっちりシャットアウト

 毎日大量に届くスパムメール。スパムメールの処理だけで朝の業務時間を割かざるを得ない会社も多いことだろう。eSafeのスパムメールフィルタは1通のメール当たり17項目に渡って判定を行っている。

 スパムメールを送信するメールサーバをリスト化するリアルタイムブラックホールリスト(RBL)や、送信者を偽装するスプーフィング(なりすまし)のチェック、スパムメール送信者が利用する大量送信メールシステムの痕跡などをチェックするヘッダー認証などの基本的なスパムメール対策技術は当然のこと、ヒューリスティック分析やベイジアンフィルター、URLフィルターなどのAdvanced Anti-Spam Module(AASM)も用意されている。

 伝統的なスパムメール判定の場合、メールの文中に何が書かれているのかをキーワードマッチングで判定する。しかし、最近のスパムメールはHTMLメールを使い、無意味な文字列を人間の目には見えないように挿入したり、不正なHTMLタグを記述したりしてキーワードマッチングを回避する。AASMでは不正なHTMLタグを削除してスパムメールの検知を実施する。

 また、画像を表示させることで受信者のメールアドレスが有効なメールアドレスであることを確認する「Webビーコン」という手口も恒常的に利用されている。Webビーコンによって、メールを閲覧するだけでスパムメール送信者のリストにユーザーのメールアドレスが掲載されてしまうのだ。eSafeはこのWebビーコンを無害化する。

 小林氏は「スパムメールの場合、必ずWebサイトへ誘導するためのリンクが記述されています。そこでURLフィルタリングのデータベースを利用してスパムメール内のスポンサーサイトへのリンクを検出してブロックすることもできます」と語る。

 なお、アラジンでは全世界にスパムメールを捕獲するための“おとり(ハニーポット)”を仕掛けて情報を収集している。そのため、日本語も含めた英語圏以外のスパムメールのリストを作成できる。このリストはハッシュによって数値化されスマートシグネチャとして反映され、実に300万通を超えるスパムメールのリストを保有している。このリストに乗せられたスパムメールデータは6週間ごとに再評価され最新のデータに入れ替えられる。

 さて、「大事なメールが、ゲートウェイのスパムフィルターでブロックされてしまったら」と懸念を抱く読者もいるかもしれない。どんなに優れたシステムでも誤検知を完全になくすことはできない。そこで、1日1〜3回、定期的に送られてくる「スパムメールレポート」が用意されている。これはブロックされたスパムメールをユーザーがどうするか(無視、学習、再送)を選択するためのものだ。もちろん管理者に問い合わせてレポートを取り寄せることもできる。

スパムメールレポート

 ネットワークの規模に依存しないeSafe GATEWAY

 さまざまなインターネットの悪意にゲートウェイにおいて立ち向かうeSafe GATEWAY。冒頭で述べたようにネットワークトラフィックがすべて集まってくる場所に設置する製品だからこそ、高いパフォーマンスが求められる。

 実はこのeSafe GATEWAY、Virtual Appliance CDという形でソフトウェアとして提供される。Virtual Appliance CDをセットアップするハードウェアは、ネットワークの規模と予算に応じて用意すればよい。特定のベンダの製品を使用しなければならないという制約はないので、ハードウェアの性能がボトルネックとなることもない。しかも、セットアップは極めて簡単で、Virtual Appliance CDをブートするとLinuxベースのOSとeSafe 5が10分程度でインストールされる。

 海外ではユナイテッド航空やHSBC銀行、カナダ国防総省などでも採用されている。今回紹介したスパイウェアやウイルス、スパムメール対策だけでなく、フィッシング詐欺やインスタントメッセンジャー、PtoPソフトウェアなどの不正利用対策など幅広いセキュリティを1台に統合したeSafe GATEWAYの導入を検討してみてはいかがだろうか?

 
今回紹介した「eSafe GATEWAY」の詳細な情報は
株式会社アラジンジャパンのWebサイトをご覧ください

http://www.aladdin.co.jp/esafe/index.html

また、

「eSafe VIRTUAL APPLIANCE CD」
30日間試用版を無料でお配りしています。
ぜひお申し込みください。

https://www.aladdin.co.jp/esafe/index_cd.html
 


提供:株式会社アラジン ジャパン
企画:アイティメディア 営業局
制作:@IT 編集部
掲載内容有効期限:2005年12月29日
 
関連リンク
株式会社アラジンジャパン

eSafe 5紹介ページ

eSafe 30日間試用版トライアルキャンペーン


 
@ITトップ@IT Special インデックス会議室利用規約プライバシーポリシーサイトマップ