アットマーク・アイティ @IT@IT情報マネジメント@IT自分戦略研究所QA@ITイベントカレンダー  
 
 @IT > 従来のセキュリティ対策を超えるWebレピュテーション機能とは?
 
@IT Special

 

PR

従来のセキュリティ対策を超える
Webレピュテーション機能とは?


Webからの脅威が高まっている。新たな手段や感染経路を用いて企業の中に忍び込んでくるウイルスなどの不正プログラムは、防衛が以前よりもより困難になりつつある。果たして対策はあるのだろうか。

    攻撃は組織的かつ巧妙に進化している

 ウイルス感染などを含む最近の悪意あるソフトウェアによる攻撃は、これまでよりも格段に防ぎにくくなってきている。その理由として、攻撃方法に大きく2つの傾向が見られることが挙げられる。その2つの傾向とは次のようなものだ。

 1つは、攻撃対象を定めてウイルスを大量に送り込む「ターゲットアタック」だ。これまでのウイルスは電子メールなどに添付され、無差別に大量送信されるのが一般的だった。

 しかし、今の脅威「ターゲットアタック」では、特定の企業や特定の関心事を持つコミュニティなどを標的に、ウイルスなどを添付した電子メールや、フィッシングサイトへのリンク先が記載されたスパムメールを送信するケースが増えている。うっかり添付ファイルを開いたりフィッシングサイトにアクセスすると、脆弱性を突いて不正プログラムが知らないうちにダウンロードされたり実行されるなどして、PCはウイルスに感染してしまい、最悪のケースでは情報漏洩に結びつくケースもある。

 もう1つの攻撃方法の変化は、「シーケンシャルアタック」だ。攻撃方法はターゲットアタックと同じだが、ウイルスをダウンロードし、PCへ感染するだけでは終わらないのが特徴だ。

 シーケンシャルアタックでは、最初のウイルスが感染したあとでそこをとっかかりに次々と不正プログラムのアップデートを継続して行う(図1)。

  このようなケースでは、自身で不正プログラムをダウンロードする機能を持つマルウェアを「ダウンローダ」あるいは「ダウンローダ型」と呼ぶ。ダウンローダはトロイの木馬やバックドアなどのプログラ ムであることが多い。侵入したPC内の脆弱性を徹底的に調べ上げ、HTTP通信で随時追加コンポーネントをダウンロードし、姿を変えながら悪事をはたら く。そのため、あるウイルスを検知し駆除したとしても、別のウイルスにすぐ感染する、スパムの送信に利用される、知らないうちに情報が漏洩する、など被害が連鎖的に発生し、食い止めるのが困難になっている。

図1 連鎖する脅威

 こうした攻撃側の進化はなぜ起きているのだろうか? かつてのウイルスは、自身の技術力を誇示する目的や愉快犯的な犯行のために無差別攻撃を行うケースが多かった。しかし、今は違う。「脆弱性を放置していた」と企業を恐喝したり、大量の顧客情報や個人情報を取得するために意図的に特定の企業を狙ったりと、金銭目的での攻撃が増加しているのだ。その背後には 巨大な犯罪組織が潜んでいるケースもある。

    既存の対策は有効ではない?

 こうした新しい脅威が登場していることが判明している。では、それをいままでのウイルス対策やファイアウォールなどの技術などで防ぐことはできないのだろうか? 実は、既存の技術では必ずしも防ぎきれなくなっているのだ。その理由は、前述した攻撃方法の中に隠されている。

 例えば、ターゲットアタックでは特定の企業や組織といった狭いターゲットをねらった攻撃が行われる。こうした特定ターゲット専用の不正プログラムやフィッシングサイト、スパムメールが作られた場合、パターンファイルだけに依存したこれまでのウイルス対策ソフトでは、局所的な攻撃であるがゆえに検体の収集に時間がかかり、見逃してしまう可能性が高まる。

 しかも感染に成功した不正プログラムが、シーケンシャルアタックでアップデートによる変異を繰り返し、常に検出を逃れるための最新機能を身につけてしまったとすれば、検出はより困難さを増す。

  これに加えて、Windows修正プログラムが公開されてからウイルスが発生するまでの期間が短くなっていることも、問題をさらに悪化させている。例えば 2000年10月20日にWindows修正プログラムが公開されたとき、Nimdaが登場したのは2001年9月18日になってからと、実に336日かかっている。しかし、2005年8月9日の修正プログラムの公開時には、Zobot.Aはわずか4日で発生している。最近では、0日で亜種を含めたウイルス発生の事例も少なくない。

 ウイルスなどの不正プログラムは、利用者のPCの脆弱性を徹底的に突いてこようとしているのだ。

    高まる「Webからの脅威」

 そして、こうした未知の脅威の隠れ蓑でもあり温床となっているのが、実は膨大に存在するWebサイトなのである。今や誰もがアクセスし、誰でも開設できるWebサイトは脅威を隠すのに格好の場所なのだ。

 最近では怪しい添付ファイルを開くユーザはずいぶん減っているし、ウイルス対策ソフトでスキャンできる。しかし、メールに一見それらしいURLが掲載されている場合、それを利用者がクリックしてWebサイトにアクセスすることを防ぐことはできない。そのクリックで画像をダウンロードしているようにユーザには見えても、バックグラウンドでは不正プログラムも一緒にダウンロードされていたり、ユーザに見えているURLとは違うところへリンクされ、リダイレクトを利用して問題なさそうなサイトから不正サイトへ飛ばすなど、攻撃の仕掛けの巧妙さも増している。

 興味の沸きそうなHTMLメールなどで利用者を不正なWebサイトへ誘い込み、脆弱性を突いて自動的に不正プログラムをダウンロードさせ感染させる、という手口でメールとWebが連携した形の脅威のケースは数多くある。

 これらのWebからの感染が恐ろしいところは、多くの場合がシーケンシャルアタックであり、HTTP通信を装って80番ポートから複数の不正プログラムに感染し、さらに更新コンポーネントをダウンロードしたり、取得した個人情報などをサーバに送信され、後にフィッシング詐欺に会うなど、被害が多重化し、経済的なものにも発展するという点だ。

  いずれにせよ、不正プログラムは巧妙にWebアクセスを、あるいはWebアクセスに見せかけたHTTP通信を利用しているのだ。これら不正プログラムに関連したWebへのアクセスは、正規のWebアクセスの通信との見分けがほとんどつかない。そのため、残念ながらそれをファイアウォールやIDSなど従来のセキュリティ対策で検知することも完全にはできない。

 感染源あるいは不正プログラムの更新元として、そして情報漏洩先として検知を逃れるために、不正Webサイトを巧妙に利用するケースが急増している。「Webからの脅威」が急速に高まっている中で、その対策もまた急務となっている。

    サイトの安定性を評価するWebレピュテーション機能

 Webからの脅威には、既存の対策だけでは十分ではなく、さらに新しい対策が必要だ。その1つとして登場したのが、トレンドマイクロが開発した「Webレピュテーション機能」である。

 Webレピュテーション機能は、Webサイトの信頼度を複数の評価基準に基づいて評価し、アクセスの有無を判断する(図2)。

図2  Webレピュテーション機能の仕組み

 Webレピュテーション機能における評価基準は、Webサイトの登録年月日、安定性、アソシエーション、ファイルタイプなどがある。例えば、悪意のある行為に使用されるWebサイトの作成年月日は比較的新しいものが多く、検査網をかいくぐるために頻繁にネームサーバやIPアドレスを変更しており安定性がないという特徴がある。ボットネットなどもこのような方法で着実に拡大している。

 また、特定のネームサーバが複数のドメインで使用されている場合、それはフィッシングサイトである可能性が高い。このように、複合的な評価を持って不用意なHTTPアクセス自体を防ぐことで、不正プログラムのダウンロードを未然に防止できる。

 Webレピュテーション機能では、ユーザがWebサイトにアクセスしようとすると、そのWebサイトの安全性を確認するために、評価情報が保存されているサーバへの問い合わせを行う。返ってきたサイトの安全性の評価レベルによって、ユーザはそのサイトにアクセスできたり、ブロックされたりすることになる。

 Webレピュテーション機能は、ユーザの能動的なWebアクセスに限らず、不正プログラムなどがバックグラウンドで行うHTTP通信についても監視している。不正なサイトと思われるところにバックグラウンドで勝手にアクセスをしようとしても、Webレピュテーション機能によってブロックされるのだ。Webレピュテーション機能は、まさしく脅威の源となる不正サイトへのアクセスを未然にブロックすることで、Webからの未知の脅威からの攻撃を防ぐ上でも有効な手段と言える。“脅威の元=不正サイト”を断つためのソリューションの1つと言えよう。

 さらに、既知のフィッシングURLや不正プログラムURLなどをフィルタリングする機能を加えれば、より安全性の高いHTTP通信を確保できる。また、ウイルス検知のためのヒューリスティック機能や振る舞い分析なども組み合わせれば、階層的なセキュリティ対策が強化され、確実性が増す。

    最新セキュリティ機能でWebの脅威に対抗する

 このWebレピュテーション機能や階層的なセキュリティ対策は、トレンドマイクロの最新のセキュリティ対策製品で実現されている。

Webレピュテーション機能を備えた「InterScan Gateway Security Appliance 1.5」

 ゲートウェイ向けアプライアンス製品「InterScan Web Security Appliance」や、中堅企業対象のゲートウェイ向けアプライアンス製品「InterScan Gateway Security Appliance 1.5」では、HTTP/FTP経由のウイルスおよびスパイウェア対策やフィッシング対策、Webレピュテーション、URLフィルタリングなど、Webからの脅威を意識した機能を搭載する。

  また、クライアントPCおよびサーバ向け総合セキュリティ対策製品「ウイルスバスター コーポレートエディション8.0」では「Webセキュリティサービス」を組み合わせることで、Webセキュリティ対策が実現できる。Webセキュリティサービスには、Webレピュテーション機能以外にも新エンジンSSAPIを搭載することで、動作中のスパイウェアの検出や削除などに対応し、トータルなWebセキュリティを実現することを目指している。

 ウイルスバスター コーポレートエディション8.0のWebセキュリティサービスには、感染後の自動復旧機能も提供することで、ウイルス対策の3原則でもある、(1)入れない、(2)出さない、(3)クリーンナップ、の徹底化を目指す。

 トレンドマイクロは、世界各国15拠点に24時間365日体制で世界中のインターネットの脅威を監視する、ウイルス解析・サポートセンター「TrendLab」を配置 している。ターゲットアタックに対抗するため、日本にも2007年初頭、リージョナルTrendLabが設立され、日本特有の攻撃パターンや対策などの研究が進められている。研究内容は世界各国 のTrendLabと共有され、世界的感染の未然防止にも役立てられる。

 Webからの脅威は、今後もさらに悪質化するだろう。企業は従来のセキュリティ対策に加えて、今後ますます増えるであろうWebからの脅威から企業資産を守るためにも、脅威の元をブロックするようなWebレピュテーションやURLフィルタリングといった多段的なWeb防御技術の導入を検討する時期に来ているのではないだろうか。


提供:トレンドマイクロ株式会社
企画:アイティメディア 営業局
制作:@IT編集部
掲載内容有効期限:2007年12月19日
 
関連リンク

トレンドマイクロ

InterScan Web Security Appliance

InterScan Gateway Security Appliance

ウイルスバスター コーポレートエディション8.0

Webからの脅威 〜「ニンテンドーDS Liteが
当たる!」キャンペーン実施中〜


関連記事
連鎖する「Webの脅威」は断ち切れるのか?

「Webの脅威に対抗」、ウイルスバスター2008発売

信用度の低いWebサイトへの通信遮断、トレンドマイクロが新技術

スパムメールに多層防御を適用、トレンドマイクロの新製品
ウイルス対策、パターンファイルだけはもう限界
ほとんどのユーザーがPCとネット利用に不安感――トレンドマイクロ
ネットの脅威はメールからWebに――トレンドマイクロが新しい脅威に対抗するアプライアンス群
「危険はWebサイトから」、トレンドマイクロが企業向け対策ソフトの新版


 
@ITトップ@IT Special インデックス会議室利用規約プライバシーポリシーサイトマップ