モバイルからMetasploitまで〜セキュリティ、次の一手は?第10回情報セキュリティEXPOレポート(2/2 ページ)

» 2013年05月31日 18時00分 公開
[谷崎朋子,@IT]
前のページへ 1|2       

OfficeやAdobe Readerを仮想環境上で実行

 マクニカネットワークスは、標的型攻撃やゼロデイ攻撃を端末上で食い止めるエンドポイントセキュリティ製品「invincea エンタープライズエディション」を参考出展した。シグネチャに基づいてマルウェアを検出するのではなく、仮想環境上でファイルを動作させてその挙動を監視し、悪意ある動作をブロックするというアプローチの製品だ。Windows Vista/7に加え、1年後にはサポート期限が切れるWindows XPにも対応している。

マクニカネットワークスが参考出展した「invincea エンタープライズエディション」

 具体的には、WebブラウザとMicrosoft Office、Adobe Readerという、特に攻撃者に狙われやすいアプリケーションを、OSからは分離されたサンドボックス上で実行する。さらにその挙動を監視し、不審なファイルをドロップしようとするなど、想定される本来の動作とは異なる挙動を見せた場合には、該当するプロセスを停止させ、被害を封じ込める。

 さらに、こうして検出した悪意あるファイルに関する情報を、Invincea Threat Data Serverにフィードし、共有することで、同様の攻撃を迅速にブロックできる。この情報は、どのような経路で、どのように攻撃されたかを調査するフォレンジック作業にも役立つと同社は説明している。

セキュリティを考えるきっかけに

 ネットエージェントのブースでは、新サービスの「セキュリティ健康診断」のデモが行われていた。その名のとおり、現在の企業の健康状態(潜在的なセキュリティ課題)を診断し、処方箋(対策)を出すサービスだ。

ネットエージェントの「セキュリティ健康診断」の社員向け問診票のデモを体験。意識が高いわりにあまり対策していないことがバレる

 同サービスでは、セキュリティに関する各種設問が記載された“問診票”と、同社の通信記録・解析製品「PacketBlackHole」による解析結果とを総合し、AからEまでの5段階評価でレポートを作成、提出する。問診票には、BYOD対策や攻撃対策など現在のセキュリティレベルを問うセキュリティ担当者向けと、業務時のネットワーク利用状況やセキュリティ意識を問う社員向け(最大50名)の2種類がある。

結果レポートではPacket Black Holeで解析した「情報漏えいリスク診断」結果などが盛り込まれる

 「企業が最も知りたいのは、社員のセキュリティ意識や対処方法を含む“今”の状況。しかし、どう調べたらいいのか、またどこから手をつけたらいいのか具体的に分からないのが現状だ」(ネットエージェント)。診断結果で発見された課題の対処法について、同社が引き続き相談に乗ることも可能という。

 「何となくうまく回っているから」と現状を見過ごした結果、小さな病魔が悪化し、やがて大きな病として発症する可能性もある。「本サービスは、セキュリティを見直すきっかけを提供する。まずは今何が起こっているかを洗い出すところから始めてほしい」(ネットエージェント)

マルウェア解析欲を満たす

 標的型攻撃対策としては、やや専門知識を要求するが詳細なマルウェア解析が堪能できるフォーカスシステムズの「Active Defense」が展示されていた。

 Active Defenseは、ダンプしたメモリイメージをリバースエンジニアリングして、マルウェアに含まれる不正コードを収集した独自データベースと照合しながら脅威レベルをスコアリングし、脅威を検出する。

 なぜ脅威と判定されたかは、その根拠となる不正コードを表示して確認できる。「別のプロセスにスレッドを作成している、他のプロセスのパーミッションを変更しているなど、詳細を見ることで目的が明らかになり、対策がしやすくなる」(フォーカスシステムズ)。

検出された不正コード一覧から不審なプログラムの目的を探る

 解析結果に基づき「HP ArcSight」や「McAfee ePolicy Orchestrator」と連携してC&Cサーバとの通信切断などの防御策を展開することも可能だ。

 同製品は、解析ツールとして人気の高いスタンドアロン型の「HBGary Responder」と基本的に同じ機能を持つ。大きな違いは、Active Defenseはエージェントを使ってデータを収集するため、システム全体の監視・解析に適している点だ。「より詳細な解析を得意とするResponder Proと組み合わせれば、より強力なマルウェア対策が完成する」(フォーカスシステムズ)。

こまめなペネトレーションテストでセキュリティ強化

 日本コーネット・テクノロジーが提供する米Rapid7社の「Metasploit」は、セキュリティに興味を持つエンジニアならばおなじみのオープンソースのペネトレーションツール「Metasploit Framework」をベースにした商用ソフトウェアだ。

 自動検知やブルートフォース攻撃、レポート機能などの基本的なテストを実行できる「Metasploit Express」、自作のソーシャルエンジニアリング攻撃の実行やWebアプリケーションの脆弱性攻撃、実行した攻撃の再現といった本格的なペネトレーションテストができるプロ仕様の「Metasploit Pro」、Proのトライアル版でProへのアップグレードが可能な「Metasploit Community」がある。

 Proでは、3万1000件以上の脆弱性情報と9万2000件以上のスキャンパターンをサポートするスキャナ「Nexpose」と連携し、そのリストを基に自動でペネトレーションテストが実行できる。

 「テストプロジェクトを作成してNexposeのスキャンを実行、結果を読み込んでエクスプロイトコードを登録したら、あとはテストを実行するだけ。数回のクリックで本格的なテストができる」(日本コーネット・テクノロジー)

スキャンで見つかったぜい弱性一覧

 本製品は、外部ネットワークからシステムの脆弱性をスキャンするだけでなく、対策後に再度テストを行い、対策が本当に有効かどうかをダブルチェックするといった活用方法もある。「ID/パスワードの強度テストで、本当に強度の高いパスワードに変更されたかを再びテストすれば、リスクレベルを格段に低く抑えられる」(日本コーネット・テクノロジー)

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。