ITpro Special
週間WEEKLY ITpro Special ITpro

攻撃者を“おとり領域”に誘導して検知する

マクニカネットワークス
“だます”という独自アプローチで
内部侵入した標的型攻撃に対するリアルタイム検知を実現

組織の運用するシステム内に巧みに侵入する標的型攻撃の脅威。既存の入口対策だけでは防ぎきれないとされる、こうした脅威に対し、今日では侵入を前提とした対策アプローチが求められている。マクニカネットワークスの提供する「Attivo(アティーボ)」では、攻撃者を偽の認証情報で“おとり領域”に誘導するというアプローチによる効果的な防御策を提案している。

マクニカネットワークス株式会社
営業統括部
村田 英治 氏

 今日、企業などあらゆる組織にとって切実な脅威となっている標的型攻撃。標的に定められた組織に対して、何度も何度も執拗な攻撃を仕掛けてくるのがその特徴で、次世代ファイアウォールやサンドボックスなど、入口対策に主眼を置いた既存の手法だけでは防ぎきれない状況が指摘されている。

 これに対し、今大きな注目を集めているのが“ディセプション(Deception)”と呼ばれるアプローチだ。「“ディセプション”自体、もともとは軍事戦略上の用語で、いわば“だます・欺瞞作戦”という意味。セキュリティ対策の世界では、攻撃者に対して偽の情報を与えて誘導し、攻撃を失敗に終わらせるという考え方となります」とマクニカネットワークスの村田英治氏は説明する。そして、このような新たなアプローチによる標的型攻撃対策を提案しているのがマクニカネットワークスの提供する「Attivo」だ。

偽の認証情報を“まき餌”に“おとり領域”へと攻撃を誘導

 一般に標的型攻撃では、ターゲットとなる組織のシステムに関する「偵察」に始まり、メールやWebサイトを介しての「初期侵入」、通信経路の確立による「足掛かりの構築」といったフェーズを経たのち、端末のローカルにキャッシュされている認証情報の取得による「権限昇格」と「侵入拡大」が繰り返し実施される。そして、最終的には目的とする情報の窃取が行われ「任務の完遂」となる。

 「この権限昇格と侵入拡大により、攻撃者がシステム内でいわば“横へ横へ”と活動を広げていく際に、偽の認証情報を与え、システムの実環境とは別に用意した“おとり領域”へと攻撃者を誘導するというのがAttivoのアプローチです」と村田氏は紹介する。つまりAttivoでは、偽の認証情報を“まき餌”としてエンドポイントに格納し、おとり領域へ誘導しやすくしている。

 攻撃を“おとり領域”に誘導することで、実環境の安全性を担保できることはもちろん、同領域にアクセスしていること自体が標的型攻撃である証左となるため、過検知の懸念も少ない。さらに、そこが“おとり領域”と気づいていない攻撃者がどのような活動を行うのかを安全にモニタリングするための手段を提供していることもAttivoの特徴だ。

 「これに関しAttivoでは、詳細なログ情報を収集、分析するためのSplunk(スプランク)といったSIEM(Security Information and Event Management)製品をはじめ、ファイアウォールやIPS(Intrusion Prevention System)、ETDR(Endpoint Threat Detection and Response)など、さまざまなセキュリティソリューションとの連携が可能となっています」と村田氏は語る。

 標的型攻撃の脅威が高まり、侵入を前提とした対策の重要性が強調される状況にあって、Attivoはまさに画期的な対策アプローチを提供する製品だといえる。

[画像のクリックで拡大表示]
お問い合わせ