ニュース
» 2013年12月20日 17時37分 UPDATE

「本当にうちに標的型攻撃が来てるの?」を試した結果:企業のセキュリティ対策、“ムラ”が鮮明に――ファイア・アイが解説

ファイア・アイは、同社の標的型攻撃対策アプライアンス「Malware Protection System」を試験導入した国内企業におけるマルウェア検知結果の概要を明らかにした。「できている企業」と「そうでない企業」とで大きな差が生じたという。

[高橋睦美,@IT]

 ファイア・アイは2013年12月19日、同社の標的型攻撃対策アプライアンス「Malware Protection System」を試験導入した国内企業におけるマルウェア検知結果の概要を明らかにした。社員へのリテラシー教育を徹底し、セキュリティ対策にしっかり取り組んでいる「金融業」と、標的型攻撃のメインターゲットでありながら、対策が進んでいるとは言い難い「製造業」とで、明らかに差が生じたという。

 Malware Protection Systemは、独自のサンドボックス上で解析を行い、シグネチャに頼ることなくマルウェアを検出するセキュリティ製品だ。侵入経路ごとに、Web、メール、ファイルと3つのラインアップを用意している。複数の国内企業において、これら製品の導入前に試験的に運用を行い、感染を試みる外部からの攻撃件数と、感染後の端末がコマンド&コントロール(C&C)サーバーに通信を試みるコールバック件数(不正通信数)を集計した結果、いくつか興味深い傾向が浮かび上がったという。

 1つは、金融業における検出数の低さだ。約2万台の端末がありながら、外部からの攻撃は3件、内部からのコールバック通信も1件にとどまった企業をはじめ、ほとんど検知されなかったそうだ。

mt_fireeye_miwa.jpg ファイア・アイの最高技術責任者 三輪信雄氏

 同社の最高技術責任者(CTO)、三輪信雄氏によると、「(高いセキュリティが求められる)金融業はもともと、インターネットの閲覧自体を厳しく制限したり、顧客情報を扱うシステムと他のネットワークとの分離を厳密にしたりと、厳しいルールを定めている上、ウイルス対策ゲートウェイを3段重ねにするなど、セキュリティ対策にも相当取り組んでいる。また社員の(情報セキュリティに関する)リテラシーも高く、社員の活動をモニタリングする仕組みを整えている」と、こうした結果が出たのも妥当であるという見方を示した。

 一方、多くの知的財産を抱え、標的型攻撃にとって“おいしい”ターゲットとなり得る製造業では、全般に検出件数が多かった。約2万5000台規模のある企業では、外部からの攻撃イベント数は1200件、内部からのコールバック数は200件に上った。さらに別の企業(約4万台規模)では、2500件ものコールバックを観測したという。

 複数の支社や工場、関連企業を抱える企業では、本社側に設置したプロキシサーバー経由でインターネットに接続するネットワーク構成を取ることが多い。そうした環境でも感染端末を検知したケースがあり、関連会社の端末のマルウェア感染が、本社側ネットワークへの足がかりになる可能性が明らかになった。しかも、感染した原因を探っていくと、「いわゆるゲームやアダルトサイトへのアクセスではなく、取引先と思われる日本語のWebサイトが改ざんされ、そこから悪意あるサイトに転送されているケースがあった」(三輪氏)。

 一方で、同じ製造業でも検出数が非常に少ない企業もある。金融/製造以外の業種でも同様に、会社によって結果にムラがあり、対策状況が二極化している実態を伺わせる。

 「件数の多寡は、攻撃側が仕掛けるキャンペーンのタイミングなどにもよるため一概には言えないが、きちんとしている企業とそうでないところとで、大きな差が生じた。社員がPCにゲームをインストールできたりするなど、比較的自由にITを利用できる環境では、攻撃に掛かりやすい」(三輪氏)。

 従って、無造作に添付ファイル付きメールを開いてしまうなど、不用意な使い方でマルウェアに感染してしまう確率を下げるために一定のリテラシー教育を行った上で、メリハリの効いた対策を講じていくことが重要だと説明。こうした試験的な導入は、その際に「セキュリティのポートフォリオ全体を見直すきっかけになることもある」とした。

 「製造業の場合、何段にも連なったサプライチェーンの下の方にも重要な情報が転がっている。『まさかうちが狙われることはないだろう』と思いがちな、そうしたサプライチェーン全体を末端まで含めて守る仕組みとなると、まだ整備されていない」(三輪氏)。2014年に向けてこのような意識が変わり、高まっていってほしいと述べた。

 なお、同社が2013年12月17日に発表した新サービス「FireEye Rapid Response Service」についても説明があった。「何らかの攻撃/インシデントを検知したけれど、本当にマズいものなのかどうか分からないし、どうしたらいいかも分からない」という企業や組織向けに、解析結果と対応策をまとめたレポートを4時間以内に提供するというサービスだ。同社製品を導入していない顧客でも利用できる上、要点をかいつまんでまとめた「エグゼクティブ・レポート」によって、状況把握と適切な対処を支援することが特徴だという。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。