04-S-04_06

目次

情報保護のために未知の敵を知るー「標的型攻撃」「振る舞い」「サンドボックス」

マイナンバー(社会保障・税番号制度)のような、社会インフラとなるようなシステムには、昨今話題に上がっている漏洩事故等の脅威状況が背景となり、未知への脅威対策強化が企業に対して求められているようです。

いわゆる標的型攻撃を対象とした対策は、これまでのセキュリティ対策と少し異なる点があります。ですが、ウイルス対策の定義ファイルを最新にする、OSやアプリケーションのパッチは出来る限り速やかに適用する等の対策が基本であり最も重要です。

また、「攻撃に気づかれない事が重要なため、様々な工夫がされている攻撃」として、
標的の人や組織、システムを良く調べた上で攻撃を仕掛けてこられます。

このような特性のある標的型攻撃や未知の攻撃への対策として、より効果の高い対策を実現するための、特に重要なポイントを紹介します。

対策の重要ポイントー検知、解析

未知の攻撃やマルウェア検知を実現するためには、複数のポイントで、可能な範囲で多くのテクノロジーを検知に活用することが重要です。

例えば、マルウェア検知の場合、以下のような検知ポイントがあります。

(1)洗練されたシグネチャ解析
(2)様々な収集情報を活用する、ファイルレピュテーション
(3)高速なエミュレーション分析
(4)詳細なサンドボックス分析
(5)詳細な静的コード解析

(1)のシグネチャはすでに発見されているマルウェア検知に有効で、(2)のレピュテーションは、ごく最近報告されたマルウェア検知に有効です。
(3)のエミュレーション、(4)のサンドボックス、(5)の詳細な静的コード解析は、未知のマルウェア検知に有効です。

これだけは避けたいー属人的対応

上記の検知テクノロジーには、それぞれ強みと弱みがあります。
一つのテクノロジーに依存することは検知の範囲が限定され、非効率になってしまうため、複数のテクノロジーを使えることや、適材適所で使い分けられるようになっていることが望ましいでしょう。

また、それぞれのポイントで入手した脅威情報(検知した情報)を共有できるようにしておくことは大変有効な対策です。

例えば、サンドボックス等の動的解析は、時間を要する傾向があります。

一つ目のマルウェア解析に時間を要してしまい、1台が感染してしまったとしても、解析結果を複数のシステムに素早く共有できると、2台目以降の感染を防げる可能性が高まります。
これは、標的型攻撃による感染端末が1台で済むのか、システム内全ての端末が感染してしまうのか?といった違いが出てくる可能性があります。

目的と期待効果を明確にして、導入製品や構成を検討してください。

万一に備えるー自動化された一次対応を設定

ただし、どんなに対策しても未知の攻撃やマルウェアに対して完璧な対策を取るのは困難を極めます。
万一感染した時の対応プロセスを検討して、可能な限り自動化された、素早い一次対応手順を設定してください。
復旧負担を大幅に軽減するためには、属人的対応にならないようにする必要があります。

一次対応アクションの判断を踏まえて状況把握方法を明確化し、運用負担や被害を小さくしてください。

関連記事