Emotetやランサムウェアからネットワークを守る「多層防御」とは?
今や企業ネットワークは、その規模に関係なく常にサイバー攻撃の標的となり得る時代です。しかも、サイバー攻撃の手法はますます巧妙化しているため、単一のセキュリティ対策では不十分であり、複数のレイヤー(層)で保護する「多層防御」を求める声が高まっています。
情報の漏洩や改ざん、窃取などの被害が発生すると、企業の信頼性や競争力が損なわれるだけでなく、顧客や取引先からの信用を失うことにつながります。そこで今回は、複数のセキュリティ対策を組み合わせて企業ネットワークを守る多層防御について解説します。
マルウェアの種類
マルウェア(Malware)とは、悪意をもって配信される不正なソフトウェアの総称で、「Malicious(悪意ある)」と「Software(ソフトウェア)」を合わせた造語です。マルウェアは機能や目的によって次のように分類されることもありますが、大抵のマルウェアは複数の特性を持っています。
トロイの木馬(Trojan horse)/リモートアクセス型トロイの木馬(RAT:Remote Access Trojan)
正規のソフトウェアのように偽装して侵入し、侵入先で悪意ある活動をするマルウェアの総称です。
侵入先でランサムウェアなど別のマルウェアをダウンロードするマルウェアをダウンローダーと呼ぶこともあります。
また、外部から感染先にアクセスするために使用されるものを、RAT(リモートアクセス型トロイの木馬)として区別して呼ぶこともあります。RATの多くは侵入先のコンピュータに不正アクセスするための裏口(Backdoor)を作成する機能を持っています。
ボット(bot)
ボットは、侵入先のコンピュータを外部から操作可能にするマルウェアです。また、複数のボットをネットワークで接続したものを「ボットネット」、これら複数のボットをコントロールするサーバをC&Cサーバ(Command and Control Server)と呼びます。
RATと混同されることもありますが、RATは単一のコンピュータを直接制御することを目的にしているのに対し、ボットは複数のコンピュータを対象にしているなどの違いがあります。
スパイウェア(Spyware)
侵入先の情報を収集し、外部に送信するマルウェアの総称です。窃取される情報は、クレデンシャル情報、クレジットカード情報、デバイスの使用履歴など多岐に渡っています。なお、キーボードで入力したデータを記録して外部に送信するスパイウェアを「キーロガー(Keylogger)」と呼んで区別することもあります。
情報窃取以外にも、悪意ある行動を取るスパイウェアもあるため、情報を窃取するだけのマルウェアをインフォスティーラー(InfoStealer)と呼んで区別するともあります。
ルートキット(Rootkit)
侵入先のコンピュータの管理者権限を乗っ取ることを目的としたマルウェアです。管理者権限を乗っ取ることで、重要なデータを気付かれずに窃取する、バックドアを作成する、ランサムウェアなど他の目的を持ったソフトウェアをダウンロードするなど次の攻撃をやりやすくします。
観測されることの多いマルウェア:Emotet
亜種なども含めるとマルウェアには膨大な種類が存在していますが、近年よく観測されるマルウェアの代表にEmotetが挙げられます。
おそらくEmotetは、ここ数年で最も名前の知られているトロイの木馬型のマルウェアでしょう。スパイウェアやボットの機能を有しており、ダウンローダーとして複数のランサムウェアの配信に利用されたことでも知られています。また、Emotet自身がランサムウェアの機能を持っていることもあります。
多様な攻撃には複数のレイヤーで対策することが重要
近年のサイバー攻撃は多様化しており、利用されるマルウェアにも膨大な種類があります。これまで一般的であったアンチウイルスソフトウェアやファイアウォールをはじめとする「侵入を防ぐ」だけのセキュリティ対策では、巧妙化されたサイバー攻撃を防ぎきることは難しくなっています。そのため、複数のセキュリティ対策をレイヤー(層)として積み重ねるように組み合わせることで、多様化するサイバー攻撃に対応する多層防御が求められるようになっています。
実際に組み合わせるセキュリティ対策には、次のようなものがあります。
ファイアウォール
ネットワーク内部と外部を分離し、パケットの送信元や送信先のIPアドレスやポート番号を基に通信を許可または遮断することで不正なアクセスを防ぐことができます。また、最近の「次世代ファイアウォール(NGFW:Next Generation Firewall)」では、アプリケーションやユーザー、コンテキストなどの情報を活用して、より細かなセキュリティ制御を実施します。
IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)
IDSはネットワーク上のトラフィックを監視して、あらかじめ定義されたパターンやルールに基づいて攻撃を検出し、IPSは検出に加えて攻撃を防ぐことができます。近年のIPSには脅威インテリジェンスやAI技術を活用し、より高度な検知や防御対策ができる物も増えています。
EPP(Endpoint Protection Platform)
マルウェアの侵入をブロックする仕組みです。従来のアンチウイルスソフトウェアもEPPのひとつです。マルウェアの攻撃パターン(シグネチャ)を用いてマルウェアを検知する従来型のアンチウイルスソフトウェアに加え、振る舞い検知など不審なマルウェアを検知する「NGAV(Next Generation Anti-Virus)」などもEPPと呼ばれています。
また、スパムフィルターやフィッシング対策の機能を持ったツールも多く、スパムメールを検出・遮断するとともに、フィッシングサイトへのアクセスをブロックするなどの機能も提供します。
EDR(Endpoint Detection and Response)
企業ネットワークに接続しているエンドポイントの操作や動作を常に監視し、サイバー攻撃をいち早く発見して対策する仕組みです。なんらかの異常を検知すると、管理者に異常を通知するだけでなく、被害の拡大を防ぐための防御対策も自動的に実行します。また、監視ログ等の分析によって被害状況を明らかにするといった機能も持ちます。
パッチ適用
ソフトウェアの脆弱性を素早く修正することで、攻撃のリスクを軽減することができます。
アクセスコントロール
ユーザーの権限を制限することで、不正な操作を防ぐことができます。そのためには、ユーザーの権限を正しく管理するとともに、高度な認証/認可の仕組みを確立する必要があります。
ポイントソリューションで対応することは困難
セキュリティ対策として多層防御が有効であることは理解していても、多様化する脅威に対してポイントソリューションで対応していくことは困難になりつつあります。
そのため、最近では複数のセキュリティ機能を1つの製品にまとめた統合アプライアンス製品であるUTM(Unified Threat Management)を活用して多層防御を実現する企業が増えています。
たとえば、チェック・ポイント・ソフトウェア・テクノロジーズが提供するSMB向けのUTM製品である「1500シリーズ」は、次世代ファイアウォール機能やIPS機能を備えたセキュリティゲートウェイです。アンチボット機能やアンチウイルス機能、さらにサンドボックス技術を利用して未知の攻撃に対処する「SandBlast Zero-Day Protection」などの機能も有しています。
なお、セキュリティ人材が不足している昨今では、導入が容易であることもUTM製品を選択するポイントです。「1500シリーズ」では追加設定が不要なゼロタッチプロビジョニングを実現しているほか、モバイル向けアプリ「WatchTower」によって、オフィスの外からでもモバイル端末での社内ネットワーク監視や緊急時の防御対策を実施可能です。
1530/1550ファイアウォールモデル|Check Point
https://www.checkpoint.com/quantum/next-generation-firewall/small-business-firewall/#specs
まとめ
・巧妙化するサイバー攻撃には多層防御で対策することが重要
・最近は複数のマルウェアが連携してランサムウェア攻撃やサプライチェーン攻撃を実行する
・UTM製品によって容易に導入できる多層防御ソリューションもある