ITpro Special
週間WEEKLY ITpro Special ITpro

「標的型攻撃への対策」  REVIEW

インテリジェント ウェイブ(IWI)

メモリー上に罠を仕掛ける独自の方式で
エクスプロイトコードの実行を確実に阻止

最近の標的型攻撃は、マルウエアだけでなく、OSやアプリケーションなどの脆弱性を突くエクスプロイトコードが主流となってきている。エクスプロイトコードはマルウエアのパターンファイルには引っ掛からないので、それだけ感染力が強い。このエクスプロイトコードを“コンピュータのメモリー上に仕掛けた罠”で検知・阻止するのが、「Traps」だ。

株式会社インテリジェント ウェイブ
セキュリティソリューション本部
第一部 営業第一課
マネージャー
宮下 真機

 標的型攻撃がますます盛んになっている今、情報処理推進機構(IPA)などのセキュリティ対策機関は防御するための注意事項の周知徹底を図っている。メールを開くPCユーザーに対しては「メールの表題」「差出人アドレス」「メール本文」「添付ファイル」の4点に注意すること、システム管理者に対しては「入口対策」と「出口対策」の両方を実施すること、といった具合だ。

「メールの添付文書を印刷した時や、文書の最終ページにカーソルが移動した時など、ユーザーがアクションを起こした際にエクスプロイトコードが実行されるといったように、最近の攻撃手法は手が込んだものになっています。ふるまい検知やサンドボックスでは、この手の攻撃を検知することは難しいのが現状です」とインテリジェント ウェイブ(IWI)の宮下真機氏は話す。エンドポイントまで侵入されてしまうことを前提に、“ユーザーは、業務に支障なく普通にPCを使っていても大丈夫”な標的型攻撃対策ソリューションが求められているという。

 そうしたニーズに応えるかたちで今年5月からIWIが国内販売を開始したのが、「対マルウエア」と「対エクスプロイトコード」の二つの機能を兼ね備えたエンドポイントセキュリティソフトウェア「Traps」(開発元:パロアルトネットワークス)である。

“コアテクニック”に罠を仕掛け、エクスプロイトコードを検知

株式会社インテリジェント ウェイブ
セキュリティソリューション本部
第一部 セールスエンジニア課
リーダー
栗山 智

 対マルウエアの方は、悪意のある実行ファイル形式の検出・防御を行う機能で、マルウエアであるかどうかの判定には、全世界で共有されているパロアルトネットワークスのクラウド型サンドボックス「WildFire」が使われる。

 一方、対エクスプロイトコードはOSやアプリケーションの脆弱性を突く攻撃を検出するための機能で、「メモリー上に罠を仕掛けることによって攻撃を検知し、かつ悪意のある活動を防御する」(宮下氏)という仕組みになっている。

 Trapsの最大の特長として、宮下氏は「エクスプロイトコードの実行を完全に阻止」することを挙げた。標的型攻撃のエクスプロイトが必ず使う“コアテクニック”(基本的な脆弱性攻撃)に罠を仕掛けているので、悪意のあるエクスプロイト攻撃は確実に検知・阻止できるという。同じ理由から、Trapsには「ゼロデイ攻撃に強い」という第2の特長もある。

 また、チェック対象をコアテクニックに絞っていることから、Trapsのプログラムサイズは非常に小さい。日々更新が必要なマルウエアパターンファイルと違って、更新も年に数回、新しいコアテクニックの更新で済む。

 セッションの後半は、IWIの栗山智氏による実機デモンストレーションが行われた。演じたのは、模擬のエクスプロイトコードを侵入させて、そのPC、Traps管理サーバー、攻撃者のコンピューター(C&Cサーバー)で何が起きるかを見せるというシナリオである。栗山氏は「Trapsがエクスプロイトコードの一つをブロックしただけで、C&Cサーバーと通信を行うといった攻撃は未遂に終わらせることができます」と、Trapsの防御能力の高さをアピールした。

Trapsは攻撃の初期段階で標的型攻撃を検知して防御する
マルウエアだけでなく、OSなどの脆弱性を突くエクスプロイトコードの実行も阻止できる
お問い合わせ