第5回情報セキュリティEXPOレポート
セキュリティ分野にも
「仮想化」「SaaS」「国際基準」の波
宮田 健
@IT編集部
2008/5/26
「怪しい?」を「怪しい!」に――ボット対策の新手法、仮想化
アンチウイルスソフトでマルウェアやウイルスなどを判定するには、それらの特徴をシグネチャとして登録し、その集合体であるパターンファイルとマッチングさせる判定方式と、その振る舞いから「怪しさ度合い」を基に検知を行うヒューリスティック判定がある。過去の大きな脅威であったBlasterやSlammerなどは、同一の悪意のあるコードを大量に発生させていたため、パターンファイルさえアップデートされれば検知が行えた。しかし、現在では脅威が多様化し、スピア型攻撃と呼ばれる特定の企業のみを攻撃対象にするマルウェアが存在すること、そして攻撃コードも難読化が施されているなど、単なるパターンマッチングでは限界がある。そのような現状に「仮想化技術」で対応しようというのがファイア・アイの製品だ。
ファイア・アイの製品「ファイア・アイ ボットウォール」は、ボットによる攻撃を検知し、その挙動までを解析するというものだ。
 |
米ファイア・アイバイスプレジデント ミコ・キュウカネン氏 |
ファイア・アイのバイスプレジデント、ミコ・キュウカネン氏は「ボットネットは企業にとって大きな問題である」と述べる。ボットネットは攻撃者が悪事を行うためのプラットフォームとなっており、このボットネットでスパム配信、DDoS、フィッシングなどを行うだけでなく、このボットネット自体がレンタルされているという。グーグルのヴィント・サーフ氏は、世界中で1億5000万台ものPCがハイジャックされている可能性を示唆しており、見えない脅威がすぐそばにあることを述べた。
このような状況では、検体を解析しシグネチャを作るという方法では追いつかないとキュウカネン氏は述べる。しかし従来の振る舞い検知では、急激に通信量が増える、いままで通信したことのないホストへの通信を観測するなど、突出した行動がないと検知できなかった。すでにボットネットの通信は自身の動作がなるべく目立たないように進化し続けている。
そこでファイア・アイのボットウォールでは、ボットと思われる通信をすべて自身の「仮想環境」で動作させ、どのような挙動が起きるのかをチェックするという方法を取った。ネットワーク内を流れるトラフィックをすべてキャプチャし、これに対し、怪しいと思われる通信を「最大限に敏感に」ピックアップする。このような通信に対しては、そのパケットを仮想環境のマシンに対して適用し、実際に攻撃をさせる。その結果、具体的に「ボットコントロールのホストへの通信がある」「クライアントのレジストリを書き換える」「exeファイルを置き換える」などのボットの行動がCPUの動作レベルで追いかけられるという。その解析結果からボットネットがどこと通信しているか、またボット化したクライアントが世界のどこに存在するのかというネットワーク図も作成することができ、脅威を視覚化できる。
  |
| ファイアアイでは解析された情報を基に、Google Map上でボットに感染したマシン(青丸)とコントロールするマシン(赤丸)を図示する機能もある(クリックで拡大します) |
「従来の振る舞い検知では、『この動作が怪しいかもしれない』ということまでは分かる。しかしそれだけでは大量に検知しフォールスポジティブを発生させるか、本当に危険な動作を検知できないかのどちらかになる」とキュウカネン氏は述べる。仮想化技術をセキュリティの世界に持ち込むことで、「怪しいかもしれない」という動作が具体的にどう「怪しい」のかが分かるという製品だ。
すでにアメリカでは大企業やISPなどで利用が行われており、企業内のボットの状況をチェックしたり、ISPの通信にボットネットと思われるものが存在しないかを確認するために導入が進んでいるという。
| 【参考】 FireEye, Inc. / ボット対策アプライアンス|マクニカネットワークス http://www.macnica.net/fireeye/ |
| 【関連記事】 納得! 知っ得! キーワード(2) ボットネットなんて関係ねぇ! というわけには…… http://www.atmarkit.co.jp/fnetwork/rensai/netword02/01.html 変幻自在なBOTの正体を暴く http://www.atmarkit.co.jp/fsecurity/special/76bot/bot01.html |
 |
3/3 |
| Index | |
| セキュリティ分野にも「仮想化」「SaaS」「国際基準」の波 | |
| Page1 アプリケーションを二重化してもネットワークが落ちると…… こんなに小さい、けれどもしっかり“UTM” |
|
| Page2 WAFやデータベース保護製品が再度注目される理由 “セキュリティ”・アズ・ア・サービスへ |
|
 |
Page3 「怪しい?」を「怪しい!」に――ボット対策の新手法、仮想化 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
