ITpro Special
週間WEEKLY ITpro Special ITpro

未知の脅威から企業をしっかり守るSaaS

個人情報を取引きする世界の闇市場は8000億円規模、企業から情報を盗み出そうとするハッカーのROIは1425%とも言われるように、現在は「情報がお金になる時代」になっている。個人情報を持たない企業はないことから、あらゆる企業がサイバー攻撃の標的となる可能性がある。攻撃の入り口として狙われるのはメールだ。万が一、情報漏洩事故につながった場合、企業に与える影響は計りしれない。このような状況の中、企業のメールシステムをしっかりと守ることがシステム管理者の重要任務の一つとなっている。そのために必要なのが、既知だけでなく未知の脅威への備えも整えておくことだ。未知の脅威を検知・ブロックできるクラウドサービス「Microsoft Exchange Online Advanced Threat Protection(ATP)」について、日本マイクロソフトのプロダクトマーケティングマネージャーが解説する。

企業をサイバー攻撃から守るには
“未知の攻撃”への対策は不可欠

 「サイバー攻撃による企業の実害は、未知のマルウェアによる標的型攻撃によるものが多くなってきています。誰も知らない未知の脅威が増え続ける中、検知率を論じるのは意味があるのでしょうか」
 日本マイクロソフトのプロダクトマーケティングマネージャーである広瀬友美氏はこのように問題を提起する。ウイルス対策ソフトウェアの性能指標としてしばしば使われる検知率は、(その製品で検知可能なマルウェア数)÷(世界のマルウェア総数)で求めるのが一般的。未知の脅威が増え続ける今、その分母である「世界のマルウェア総数」は誰も分からないのだから、検知率は算出できないはず。だから検知率だけで製品を選ぶという行為は危険だというのである。

 もちろん、既存のシグネチャに基づいた対策で防げる既知のマルウェアは100%検知する。しかし、新しいマルウェアが次々と作成される中、マルウェアと認定されているものだけをブロックしても、サイバー攻撃から企業を守ることはできない。誰も知らない、未知のマルウェアといった脅威を検知・ブロックできるソリューションを併用する必要があるという。
 そうした未知の脅威から守るために企業にぜひ使用してもらいたいのが、クラウドサービス(SaaS)の形態で提供されている「Microsoft Exchange Online Advanced Threat Protection」(以下、ATP)である。ATPはMicrosoft Office 365 E5サブスクリプションに標準で含まれているほか、単体でも一人あたり月額2米ドル(約200円)で利用が可能。ペットボトル1本くらいの金額で社員を守れるのは経営者としては安いものではないだろうか。
 ATPは、既存のシグネチャに基づいた対策が含まれるMicrosoft Exchange Online Protection(EOP:スパムやマルウェアから組織を保護するクラウドベースの電子メール フィルタリングサービス)の拡張機能として作られている。「ATPはクラウドベースのサービスのため、メールサーバーに依存しません。弊社以外のクラウドメールサービスを使っていても、またオンプレミスのメールサーバーを利用していても、ご利用いただくことが可能です。企業内にサーバーを新たに用意したり、何かのソフトウェアをサーバーに追加インストールしたりする必要はなく、導入が容易な点も最大のメリットです」と、広瀬氏。「企業内(オンプレミス)にアプライアンスを設置する他社・従来型のフィルターソリューションでは、外部アクセスを主とするモバイルデバイスは、VPN(仮想閉域網)で社内に接続する必要がありますが、ATPはクラウドベースのサービスのため、VPN機能を搭載していないデバイスでもモバイルデバイスからのアクセスのセキュリティを心配しなくても済みます」と付け加える。

標的型メール攻撃を防御するEOPとATPの動作内容
基本的にはMicrosoft Exchange Online Protectionの拡張機能という位置付け。他のメールサーバーとの組み合わせも可能だ
図
[画像のクリックで拡大表示]

添付ファイルに含まれた
巧妙な偽装も見破る

 未知の脅威がやっかいなのは、それが本当に危険なものであるかどうかがすぐには分からない、という点にある。既知の脅威はパターンファイルに記録されているシグネチャ情報との照合で簡単に判定できるが、未知の脅威はその都度内容を調べなければ判断できない。
 そこで、ATPでは「添付ファイル」を開いたり「URL」をクリックしたりする際に起きること、つまり挙動や振る舞いで安全性を確かめるサンドボックス方式を採用。さらに、機械学習と行動分析という最新の技術を利用することによって効率的に判定できるようにしている。
 添付ファイルの挙動を確認するのが「Safe Attachment(安全な添付ファイル)」と呼ばれる機能である。
 Safe Attachmentは以下の項目を含めて挙動を確認する。

  • メモリースキャン
  • ネットワークへのアクセス
  • レジストリーの変更
  • ファイルの読み書き
  • 権限の昇格
  • プログラムの実行

 レジストリーはWindowsの動作に重要な影響を及ぼすシステム設定データなので、これを変更されてしまうとそのPCが乗っ取られてしまう可能性がある。Windowsの動作上重要なファイルに不正なデータが書き込まれた場合も同様だ。権限の昇格とは、一般ユーザーから特権ユーザーへと自らの権限レベルを変えてしまうこと。システム管理者でなければできない特別な操作が可能になるので、多くのマルウェアが利用する手口だ。
 また、マルウェアの場合は、添付ファイルの中身が文書などのデータではなくプログラムになっていて、それを実行すると何かの悪さをすることが多い。Windowsではファイル名の拡張子がexeであるものがプログラムだが、これを別の名前、例えばWord文書のdocxなどに偽装したものでもATPは見破れる。「Windowsの開発元でもあるマイクロソフトはオペレーションシステム(OS)の内部構成を熟知しており、その知見と技術をATPにも活用しています。これはOSを作っているマイクロソフトならではの強みです」と広瀬氏は自信のほどをのぞかせる。

サンドボックスと機械学習で
安全で効率的な防御を実現

 これらの挙動確認は、クラウド側に用意されたサンドボックス(仮想メール受信環境)の中で行われる仕組み。サンドボックスの実体は仮想システムによって作られている仮想マシン(VM)なので、マルウェアが仕込まれた添付ファイルを開いても、他の仮想マシンやクラウドにその影響が及ぶことはない。安全確実に確認できるのである。
 サンドボックスで挙動を確認し安全と判定されたものは、ユーザーの受信トレイへと配信される。
 一方、不審な挙動をする添付ファイルを含むと判定された場合の対応として、ATPでは以下の三つの対処法が用意されている。

  • 「モニター」 マルウェアの検出後もメッセージの配信を続行し、スキャン結果を追跡
  • 「ブロック」 マルウェアが検出された現在および今後のメールと添付ファイルをブロック
  • 「置換」 マルウェアが検出された添付ファイルをブロックし、メッセージの配信を続行

 これにより、システム管理者は自社のセキュリティポリシーなどに合わせた対応をとることができる。もっとも安全なのは、「ブロック」もしくは「置換」により悪意のある添付ファイルがユーザーの手元に届かないようにすることである。
 挙動確認の結果情報はEOPとATPの両方のデータベースにリアルタイムに登録される。安全であることが確認されたファイルについては、同一のファイルが次にやってきたときのATPでの挙動検査を省略する。脅威と判定されたファイルについては、その情報がEOPのフィルターに既知のマルウェアとして追加され、次回はATPに届く前の段階で弾いてしまうのだ。「例えば、サンプルのマルウェアを作ってSafe Attachmentのデモを行う場合も、一度ATPでブロックしたファイルは次のデモには使えません。ATPに到達する前のEOPでブロックするからです。デモができないほどリアルタイムに情報が更新され、ユーザーは常に最新の情報で守られるのもクラウドを利用することの最大のメリットの一つです」と、広瀬氏は言う。
 常に最新の機能を使えることもクラウドサービスの利点の一つだ。ATPに関する最新機能として、2016年9月末より提供を開始した「Dynamic Delivery」という機能がある。添付ファイルをサンドボックスで挙動を確認するには通常5分から7分の時間がかかることから、メールの配信遅延を心配する声もあった。Dynamic Delivery機能は、添付ファイルを検査していることを伝えるプレースホルダーをつけてメール本文だけを先に配信するため、メール配信遅延の心配はない。添付ファイルは挙動確認後に安全であればプレースホルダーに置き換えられユーザーに届くというものだ。
 また、受信トレイに配信れたメッセージが後からスパムであると判明した場合に受信トレイからスパムフォルダーに移動できる「Zero-hour Auto Purge(ZAP)」という機能も新たに提供されている。常に最新の脅威情報を基にスキャンしているが、新たなマルウェアが次々と作られている今、スキャン時には脅威情報がなく、通ってしまう可能性もゼロではない。「ZAPは、リアルタイムで更新される脅威情報を継続的にモニターします。これにより、配信時にはマルウェアが検出されずにユーザーの受信トレイに届いてしまったメールであっても、未読であれば迷惑メールフォルダに移動することで被害の拡大を防ぐことができます。この機能はExchange Online Protectionに新たに追加された機能です。弊社のソリューションをトータルで使うことで、さらなるセキュリティ強化が実現できるということです」(広瀬氏)。