ニュース
» 2013年05月02日 08時00分 UPDATE

「典型的ではない脅威」への注意も:FTPが格好の侵入経路に? パロアルトがレポート公表

パロアルトネットワークスは4月25日、同社顧客のネットワークトラフィック分析を基に、企業内のアプリケーション使用状況や脅威の動向についてまとめた2つのレポートを公表した。

[高橋睦美,@IT]

 パロアルトネットワークスは4月25日、同社顧客のネットワークトラフィック分析を基に、企業内のアプリケーション使用状況や脅威の動向についてまとめた「アプリケーションの使用および脅威分析レポート」と、クラウド上で動作するサンドボックス技術「WildFire」を活用してマルウェアを分析した結果をまとめた「モダンマルウェアレビュー」という2種類のレポートを公開した。これらによると意外なことに、「プレーンなFTP」がマルウェア侵入の糸口になる可能性が高いという。

 パロアルトネットワークスは、トラフィックをアプリケーション/ユーザー単位で識別してきめ細かく制御を行う「PAシリーズ」を提供している。IPアドレスやポート単位で制御を行う従来型のファイアウォールに比べ、ソーシャルネットワークをはじめとする多様なアプリケーションの利用状況を可視化できること、アプリの中の「チャット」「ファイル共有」といった動作単位でコントロール可能なことなどが特徴で、同社はこれを「次世代ファイアウォール」と称している。

 公開されたレポートのうち「アプリケーションの使用および脅威分析レポート」は、PAシリーズのこうした特徴を活用して、定期的にまとめられているものだ。2013年4月25日に公開された最新版では、3056社のネットワークトラフィックを分析。この結果、計1395種類のアプリケーションの利用が確認された。

 このうち、FacebookやTwitter、Tumblrといったソーシャルネットワーキング関連アプリケーションの帯域が占める割合はわずか1%。ソーシャルネットワーキング上で見つかった脅威はなかった。「正直なところ、予想よりも少なかった」(パロアルトネットワークス 技術本部長 乙部幸一朗氏)という。

 逆に、Windowsファイル共有やMicrosoft Exchangeといったビジネスアプリケーションの脆弱性をターゲットにする攻撃コード(Exploit)は、398種類、約86万回にわたって検知された。中でも、MS-RPC(56%)やSMB(29%)の脆弱性を対象にするコードが大半を占めている。その多くはネットワーク内部の感染端末が周囲に感染を広めようと試みてのものと思われるが、依然としてこうしたアプリケーションが狙われ続けていることが分かる。

paloalto01.jpg

 また興味深いことに、「FTP」というシンプルなファイル共有手段のリスクが高いことも判明した。今回のレポートでは、BitTorrentやDropboxといったファイル共有アプリケーションは112種類検出された。最も帯域を消費しているのはBitTorrentだが、これらアプリケーションを狙う脅威という観点から見ると、FTPをターゲットにしたExploitが最も多かった。なお、ワールドワイドで見ると帯域を専有しているファイル共有ツールはBitTorrentだが、日本に限ってみるとFTPが43%で最多となった。

 もう1つのレポート「モダンマルウェアレビュー」でも、FTPのリスクが指摘されている。レビューでは3カ月間にわたってWildFireのデータを分析し、トップ6のアンチウイルスソフトウェアをすり抜ける2万6000種類以上の「ゼロデイマルウェア」を検出した。

 こうしたマルウェアの感染経路の大半は、Webサイトの閲覧やWebプロキシだ。電子メール経由のマルウェアは、当初は「ゼロデイ」状態でも平均5日前後でシグネチャなどが用意され、検知できる体制が整うのに対し、Webベースのマルウェアは、検知するまでに平均20日と、4倍の時間がかかる。「最近の標的型攻撃はSMTPをターゲットにはしておらず、Webブラウジングで感染する未知のマルウェアが増えている」(パロアルトネットワークス マーケティング部長 菅原継顕氏)。

 そして、それ以上に検知まで時間を要するのがFTP経由のマルウェアだという。FTPは、マルウェア侵入経路としてはワースト4位だが、FTP経由でやってくる未知のマルウェアの95%は、1カ月たってもウイルス対策ソフトウェアで検知できなかった。また、FTPセッションにTCP 21という標準ポートを使うマルウェアはごく少数で、97%は非標準ポートを使用していたという。

paloalto02.jpg

 「Webブラウジングを侵入経路として利用するマルウェアは数としては多いが、FTPは検知が難しく、セキュリティ対策を回避しやすい。このため、FTPは格好の侵入経路になっている」(菅原氏)。電子メールやWebといったサービスを利用する脅威への注意も重要だが、「典型的ではない脅威にも注目を」と述べている。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。