ソリューション

マクニカネットワークスが取り扱う製品で、皆様の課題を解決します

6製品を徹底調査!標的型攻撃に効く“出口対策”の最適解

マクニカラボ便り

「マクニカラボ便り」は、ちょっとやってみたい検証や、このテクノロジー、こう使ってみたらどうなる?など、マクニカネットワークスのエンジニアが気になった製品や技術について、ディープな検証や評価を行い、面白かったら皆さんにも公開しようという、ちょっと気まぐれなコーナーです。

半年ほど前から「標的型攻撃」という言葉を頻繁に目にするようになってきましたが、具体的にどのような脅威なのか、どう守ればいいのかという点についてあいまいに理解されている人も多いことでしょう。また、最近では各社どの製品も標的型攻撃に対して防御できることをアピールしているため、その効果や具体的な仕組みなどに興味を持っている方も多いはずです。そこで今回は、各社の実機を用意して比較検証を行うことで、標的型攻撃に対して具体的にどれくらい効果があるのか試してみました。

【今回のチャレンジ】

今回は、弊社で取り扱っているBlue Coat社のProxySGをはじめとするプロキシタイプを3製品、UTMタイプを2製品、ミラーポートで通信を監視するタイプを1製品用意して、合計6社の製品で標的型攻撃に対する効果がどれくらいあるのかを検証してみました。検証の方法としては、ユーザの端末がマルウェアに感染させられたことを想定し、その後C&Cサーバと呼ばれる悪意のあるサーバと通信を行う際にどの程度その通信をブロックまたは検知できるのかを確認しています。

「標的型攻撃」と感染後の動作

標的型攻撃とは何だ?

これまでのサイバー攻撃は、ウイルスやツールを利用して不特定多数のターゲットに実行されるものが主流でしたが、最近では狙いを定めた特定企業に対して行われるサイバースパイ活動が増えています。これがAPT(Advanced Persistent Threat)、いわゆる標的型攻撃です。様々な手口でターゲットとなる企業に侵入しマルウェアを感染させようと試みますが、その例としてよく取り上げられるのが以下のようなものです。

まず、最もよく聞く例として挙げられるのが社内メールです。社内の人事部門や同僚を装ってメールを送信し、人事異動や賞与支給額についてなど興味を引くタイトルが付けられた添付ファイルをクリックさせます。社内からのメールの添付については心理的な警戒心が薄くなる傾向にあり、感染率が高いと言われているのです。

また、SNS を利用してターゲットに直接コンタクトする手法もあります。例えばあるA 社をターゲットとしたい場合、会社名で検索するだけで役職や出身大学、趣味や家族構成など非常に多くの情報を入手することが可能です。これらの情報を元に、悪意のある攻撃者は同じ出身大学を装ったり同じ趣味仲間として近づいたり、もしくはターゲットの友人と同じ名前で偽のアカウントを作って近づいてきます。これ以外にも、USB メモリをPC に接続しただけで感染するようなゼロデイの脆弱性をついてくるものなど、数多くの攻撃手法が存在しており、手口が巧妙化することで一度狙われたら感染を防ぐことはできないとも言われている状況なのです。

危険にさらされる個人情報

感染後の動作

標的型攻撃のターゲットとなりマルウェアに感染してしまうと、その端末は「C&C サーバ」と呼ばれる、攻撃者が用意した悪意のあるサーバに接続させられ、C&C サーバからの指示を待つようになります。この状態になってしまうと、感染したPC から周囲のPC に感染を広げたり、社外秘の情報を採取されてC&C サーバに送られたりなど、攻撃者のやりたい放題です。しかも、C&C サーバに送られるデータは暗号化されており、DLP などで止めることも難しいのが実情で、なかには画像アップロードを隠れ蓑として画像の最後に暗号化したデータを追加して送信するものもあり、重要なデータが含まれていることに通常気づくことができません。(※注)

サイバー攻撃後のマルウェアの動き

(※注)…単にパケットをキャプチャして内容を確認するだけでは確認が難しいため、C&Cサーバとのやり取りを仮想化環境で再現させ、仮想マシン内で発生するすべての変更内容(ファイルのオープン/クローズや作成/変更/削除、レジストリ変更、コールしたAPI、アドレス等のマルウェア感染履歴など)を記録し、その挙動からマルウェアを識別するFireEyeという製品もあります。今回は単純にC&Cサーバとの通信をブロックできるかどうかの評価を行いましたが、セキュリティは単一ソリューションではなく多層防御を行うことが基本となるため、FireEyeのテクノロジに関してはLANchBOX “SIerの為の実践講座”の最新記事(2012年5月更新)で詳しく解説しています。

標的型攻撃に効く「出口対策」とは

あの手この手でターゲットを攻めてくる標的型攻撃に対して、「入り口」で止めるのは至難の業と言わざるを得ません。たとえ企業内ネットワークにセキュリティ製品を配備しても、複数の入り口が存在しているためにすべてを防御することができず、感染済みのユーザが入り込んでしまう可能性があるからです。そこで、現在注目されているのが「出口対策」と呼ばれるもの。ユーザの端末がマルウェアに感染させられた場合でも、C&Cサーバとの通信を行う際に出口でブロックしようという対策です。現在では主に以下3つのタイプの製品が出口対策のツールとして考えられています。

  • 1.プロキシタイプ(BlueCoat社のProxySGなど)
  • 2.UTMタイプ
  • 3.スイッチのミラーポートで通信を監視するタイプ

各社とも標的型攻撃に効果のある出口対策が行えると謳っていますが、実際にどの程度ブロックすることができるのでしょうか。そこで、C&Cサーバの情報提供サイトより1372個のC&Cサーバのドメイン情報を入手し、実際にそれらのサイトにアクセスすることでブロック率を確認してみました。なお、タイプごとに導入形態が異なるため、それぞれ実機を取り寄せて以下の構成を構築して試験を行いました。

評価した製品と構成

1. プロキシタイプ 3社(BlueCoat社、D社、C社)

<評価構成> プロキシタイプ製品を比較するための評価構成

2. UTMタイプ 2社(P社、S社)

<評価構成> UTMタイプ製品を比較するための評価構成

3. スイッチのミラーポートで通信を監視するタイプ1社(T社)

<評価構成> スイッチのミラーポートで通信を監視するタイプの評価構成

圧倒的な差!ブロック率評価結果

評価結果のサマリーは以下の通りで、プロキシタイプのBlueCoat社が一番ブロック率の高い結果となりました。

ベンダー・製品名 検知率 ブロックURL数
プロキシタイプ BlueCoat社 98% 1346/1372
プロキシタイプ D社 3% 43/1372
プロキシタイプ C社 10% 143/1372
UTMタイプ P社 37% 510/1372
UTMタイプ S社 10% 147/1372
ミラーポートで監視するタイプ
T社
83% 1141/1372

BlueCoat社のブロックした内容を見てみると、一番多くブロックしたカテゴリ名は(Malicious Sources)でした。これはマルウェアや悪意のあるプログラムを配布するサイトとして位置づけられているものです。また、その次の(Malicious Outbound Data/Botnets)はその名の通り悪意のある外部通信/ ボットネットへの通信を表しており、3つ目の(Suspicious)は疑わしいサイトとなっています。この3つのカテゴリはセキュリティ上問題がある可能性が高いということでメーカーもブロックを推奨しているカテゴリになっており、この3つをブロックした結果98%のブロック率となりました。

カテゴリ名 ブロック数
Malicious Sources 1075
Malicious Outbound Data/Botnets 178
Suspicious 93
Placeholders 6
None 5
Computers/Internet 3
Scam/Questionable/Illegal 2
Hacking 2
Open/Mixed Content 2
Phishing 2
Dynamic DNS Host 1
News/Media 1
Government/Legal 1
Sports/Recreation 1

他のプロキシタイプのD社、C社はともにブロック率が低い結果となりましたが、その違いはBlueCoat社のクラウド連携機能にあると考えられます。BlueCoat社では、コンテンツフィルタデータベースに登録されていないURLを検知するとリアルタイムにBlueCoat社が用意するクラウドに情報を送信し、クラウド側でそのURLの内容を調査する機能があります。1日に10億アクセス以上のURL情報がクラウドに寄せられており、日々悪意のあるURLの調査を行っているのです。

次に検知率が高かったのがミラーポートで監視するタイプのT社製品で、83%の検知率でした。このT社製品の特長は、ミラーポートですべてのパケットを調査するため、HTTPのプロトコル以外にもDNSやCIFSなどのプロトコル内容も判断できるところにあります。実際に検知した内容を見てみると、HTTPで通信が開始される前の、DNSによる名前解決時点ですでに(MALWARE)というカテゴリとして判別していたため、ブロックはできないものの早い段階で悪意のある通信と判断可能なところがプロキシタイプとは異なる点と言えます

次UTMタイプはそれぞれあまり良い検知率ではありませんでしたが、ブロック内容をみるとすべてUTMのコンテンツフィルタ機能によりブロックされていることがわかりました。C&Cサーバへの通信はHTTPやHTTPSで行われており、宛先のドメイン名以外は特殊な通信が行われているわけでないため、UTMの特徴となるシグネチャベースのIPS機能やAntiVirus機能ではブロックできていなかったと考えられます。

まとめ

今回の試験結果ではBlueCoat社がもっとも検知率が高い結果となりましたが、プロキシタイプ、UTMタイプ、ミラーポートで監視するタイプそれぞれでメリット・デメリットがあるため、導入を検討する場合には本結果以外の要素も検討する必要があることは言うまでもありません。例えばミラーポートで監視するタイプは、既存のネットワーク環境に一切変更を加えることなく設置できるため、導入にかかる手間やリスクが少なくて済むという特長があります。そのため、すぐに検査を行いたいという場合には有効な手段となります。また、UTM製品に関しては当然ながらコンテンツフィルタ機能以外のIPSやAntiVirus機能も備わっており、標的型攻撃以外にも広くセキュリティの脅威に対応することが可能となります。

なお、今回は評価できませんでしたが、次回はAntiVirus機能に注目して各製品のウイルスの検知率に関しても調査を行ってみる予定です。

いつか見た景色 from Staff's Albums