情報セキュリティ戦略セミナー 2021
〜 ニューノーマル時代のサイバーセキュリティ対策 Review 〜
Blue Planet-works

攻撃者の最終目的を達成させない


「プリベンション型」対策とは

攻撃者の最終目的を達成させない


「プリベンション型」対策とは

攻撃者の最終目的を達成させない


「プリベンション型」対策とは

マルウエアの攻撃はテレワークが普及したコロナ禍でさらに勢いを増している。従来のアプローチでは、もはや業務の継続性を維持することが困難なため、新たなセキュリティ対策を講じることが企業・組織の急務となっている。そこでBlue Planet-worksが提唱するのが、従来の防御・検知の手法とは大きく異なる「防止」というアプローチだ。脅威を制御し「目的を達成させない」、エンドポイントセキュリティの新潮流を紹介する。

マルウエアフリーの台頭で、防御ができない状態に

株式会社Blue Planet-works プロダクト&テクニカルサービス本部 Chief Technical Service Officer 坂尻 浩孝氏
株式会社Blue Planet-works
プロダクト&テクニカルサービス本部
Chief Technical Service Officer
坂尻 浩孝
 世界中で猛威を振るったマルウエア「Emotet(エモテット)」。なりすましメールを介して急激に拡大し、海外はもちろん国内でも複数の企業が被害にあった。これについてBlue Planet-worksの坂尻 浩孝氏は次のように語る。

 「現在も類似のマルウエア攻撃は続いており、むしろコロナ禍でさらに勢いを増しています。問題なのは、最新の脅威をアンチウイルス製品が検知できなくなっていることです。防御の仕組みを変えなければ、被害はさらに拡大するでしょう」

 多くのアンチウイルスソフトが用いている防御技術の中核は、脅威に関する統計的な相関関係や、既知のアプリケーションの脆弱性といった過去の情報に依存している。そのため永続的に情報を更新しなければならないのが宿命であり、そのオーバーヘッドがどんどん大きくなっているという。「そこに追い打ちをかけているのがマルウエアフリーの台頭です。Windows標準のシステムツールを悪用する上、すべての攻撃をメモリ上で展開するファイルレス攻撃のため発見・対処が困難です。Emotetでも使われたこの手法は、本体となる実行ファイルを持たないため、既存のアンチウイルス製品は検知ができず、防御をかいくぐってしまうのです」と坂尻氏は言う。

 そこで現在、多くの企業が侵入されることを前提とした「EDR(Endpoint Detection and Response)」に力を入れている。社員の端末を監視し、不審な動きがあった際に迅速に対処することで被害を最小化するアプローチだ。

 「ただ、この手法にも課題はあります。最近のランサムウエアは侵入後すぐにデータの暗号化や窃取を行い攻撃した痕跡を消してしまう「ヒット・エンド・ラン」型が大半であり、対応が間に合わないのです。また、インシデントはいつ検知されるか分からないので、SOC/CSIRTの現場は24時間365日、気を緩めることなく監視を続けなければなりません。さらに、たとえ検知できても、インシデントを終息させるには高度な専門性を持つ人材が必要であり、その確保や継続雇用には多くのコストがかかります」(坂尻氏)。結局、これらが壁になり、EDRソリューションを導入しても運用を継続できない企業は少なくないという。

Prevention(防止)型セキュリティという新概念

 どうすれば最新のリスクに対応できるのか。Blue Planet-worksは、NIST(米国国立標準技術研究所)のサイバーセキュリティフレームワークで定義された「防御(Protect)」と「検知(Detect)」の間に、「防止(Prevent)」という新たな概念を当てはめることを提唱している。

 「防止とは、たとえ脅威が防御をすり抜けてきても、インシデント化はさせないことを意味します。攻撃を成立させずに、エンドポイント内で“身動きがとれない”状態をつくるのです。これにより、あとに続くEDRの工程に時間的余裕を与え、身動きがとれなくなった脅威をゆっくり確認し、最低限の対処で終息させられる。結果、SOC/CSIRTなどの負担も大きく軽減できます。これが我々の提唱する、Prevention(防止)型セキュリティです」と坂尻氏は説明する。

 既存のアンチウイルスを、指名手配書を基に悪者を探す「警察」に例えるなら、Prevention型セキュリティは「ボディーガード」だ。積極的に手は出さないが、悪者が悪事を働こうとしたら、そのときは容赦なく制圧する。

 このPrevention型セキュリティを担う製品が「AppGuard」である。マルウエアを検出して対処するのではなく、PC内で起きる不正な動きを阻止する。そのため未知のマルウエアや、マルウエアフリーの手法に基づく攻撃に対しても効果を発揮するという。

 具体的に、AppGuardは大きく2つの制御機能で構成されている。1つは、信頼されたアプリケーションしか起動させない「スペースルール」。もう1つが不正アクセスにおける侵攻プロセスを成立させない「改ざん処理の防止」だ。

①スペースルール

AppGuardがインストールされたPCでは、ハードディスク内を2つの領域に区分けして認識する。信頼済みの領域である「システムスペース」と、信頼されていない領域である「ユーザースペース」だ。システムスペースではアプリケーションの起動はすべて「可能」。一方、ユーザースペースでは、アプリケーションの起動はデフォルトでは「不可」になっている。ただし、信頼できる発行元のデジタル署名を登録すれば起動が許可される仕組みだ。

②改ざん処理の防止

OfficeアプリケーションやWindows標準のシステムツールなど、不正アクセスの起点や踏み台になりやすいアプリケーションを「ハイリスクアプリケーション」と定義。その上で、「レジストリファイルへの改ざん禁止」「システムスペースへの変更処理を禁止」「他アプリのメモリ読み書き禁止」という制御を行う。

 この2つの制御機能を組み合わせることで、システムを正しく動作・機能させながら、不正な行為をプロセスレベルで阻止する。実際、Emotetや著名なマルウエアである「Qbot」の攻撃をAppGuardがどのように阻止できるかも、検証済みだという。

 「例えばEmotetは、不正なマクロを内包したOfficeファイルを送りつけたり、Webからダウンロードさせたりする攻撃パターンを持っています。その際、AppGuard導入済みPCでは「ハイリスクアプリケーション」を経由するとユーザースペースにしかフォルダを作ることが出来ず、そこに起動ファイルが保管されますが、ユーザースペースからexeファイルやdllファイルが起動できないので攻撃が成立しません」(坂尻氏)

 一方のQbotは、種別によって攻撃フォルダを生成する場所が異なる。だが、ユーザースペースに生成した場合は同じく起動ができない。またシステムスペースに生成した場合も、改ざん処理の防止に基づきシステム変更は行えない。「このように、攻撃は最終目的を達成する前に遮断され、防止されることになります」と坂尻氏は言う。

アンチウイルス、EDRなど既存の対策と併用できる

 また、既存のセキュリティ製品と考え方が大きく異なるAppGuardは、アンチウイルスソフトやEDRといった、ほかのエンドポイント製品と共存できる。これも大きなメリットといえるだろう。

 「既存の対策で対処できない攻撃や、新たに生まれる脅威に対抗するためにAppGuardを追加して全体最適を図る。あるいは、あまりITリテラシーが高くない社員や、機密性の高い情報を扱う部門の社員だけに導入するといった、部分最適を図る導入形式もお勧めです」と坂尻氏は紹介する。  これにより、攻撃者が仕掛けた不正リンクをついクリックしてしまうといった人的ミスに起因するインシデントや、機密性の高い情報の漏えいなどクリティカルな被害を未然に防ぐことが可能になるだろう。

 「加えて、コールセンターなど外部とのコミュニケーションを必ず行わなければならない部門は、ほかの業務部門に比べてハイリスクな状況にあります。いくらトレーニングを受けても、悪意のあるファイルを見つけ出すのは簡単ではありません。このような不特定多数の相手と情報をやり取りする端末に導入すると、どんなにリンクをクリックしてもファイルを開いても、不正な動きは防げるので安心して業務に専念できるはずです」と坂尻氏は付け加える。

 DXが進んでいけば、今よりも一層データやITシステムの重要性は増していく。攻撃者がどんな手法で攻めてきても、その最終目的は達成させない――。Blue Planet-worksのAppGuardは、エンドポイントセキュリティの救世主になる可能性を秘めている。
情報セキュリティ戦略セミナー 2021 ニューノーマル時代の
サイバーセキュリティ対策
Review
TOPへ
お問い合わせ