ソリューション

マクニカネットワークスが取り扱う製品で、皆様の課題を解決します

技術的な相違点が明らかに!
標的型攻撃に有効な多層防御の一翼を担う「FireEye」基礎解説

SIerの為の実践講座

本講座は、ITエンジニアの為の明日から役に立つシステム構築スキルや技術・製品スキルなどをご提供します。まだお客様へご提案したことがない製品や技術でも、ポイントを押さえた実務知識を短時間に把握したい方にお勧めです。

【今回の講座】

2011年は、大手重工企業や衆参議院など特定の企業や組織を直接狙った攻撃、いわゆる「標的型攻撃」が数多く発生し、現在では様々なベンダーが標的型攻撃への対策を講じたソリューションを提供しています。しかし、その対応策には温度差があるため、どんな方法が有効な対策になるのか頭を悩ませている方もいるはずです。そこで今回の講座では、従来型の対策とは異なる新たなアプローチで脚光を浴びている「FireEye MPS」について詳しく紐解きます。

By 野中 一希
Macnica Networks Corp.

標的型攻撃への対策製品、その種類と手法

昨年から「標的型攻撃」という言葉がニュースでも大きくクローズアップされましたが、セキュリティベンダーの中には既存技術の見せ方を変更したり、機能拡張したものを対策ソリューションとして打ち出したりしたことで、標的型攻撃という意味も次第に拡大解釈されるようになりました。その結果、対策を検討したいが何をすればよいのか悩みを抱えているユーザの声が最近ではよく聞かれるようになっています。

各ベンダーが提供する代表的な手法

では、各ベンダーから提供されている標的型攻撃への対策製品にはどんなものがあるのでしょうか。代表的なクライアントへの標的型攻撃対策製品を分類し、その技術手法をまとめるとおよそ以下のようになります。

入口対策

代表的な手法 技術概要 標的型対策製品のベース製品群とカバー範囲
Webプロキシ IPS
/IDS
アンチウィルス/スパム GW UTM/次世代FW エンドポイントセキュリティ
ドメイン、国、IPレピュテーション(マルウェア配信サイト) マルウェア配信サイトのIP・ドメイン情報をシグネチャマッチで検証する。標的型攻撃対策製品の場合、リアルタイムにベンダーサイトへ確認する機能や国別の接続フィルタ機能を持つ場合が多い。    
URLフィルタ/コンテンツフィルタ(マルウェア配信サイト) 接続先のURLやWebコンテンツの内容をシグネチャマッチで検証する。標的型対策製品の場合、シグネチャにない接続先情報はリアルタイムにメーカーサイトへ確認する機能を持つことが多い。  
(メールに書いているURLが対象)
アンチウィルス/マルウェア ダウンロード/添付ファイルをシグネチャマッチで検証する。標的型攻撃対策製品の場合、リアルタイムにファイルハッシュ値をベンダーサイトへ確認する機能を持つ場合が多い。また、エンドポイントセキュリティの中にはサンドボックス機能を持つものもある。  
不正侵入防御、ネットワーク通信の振る舞い監視 通信パケットを監視し、脆弱性をつく通信をシグネチャマッチで検出し、挙動の怪しい端末の特定を行う。設定によっては通信遮断を行う。標的型攻撃対策製品の場合、通信状況を学習し、通常とは異なる通信を確認した際にアラートを上げる機能を持つものもある。
(Webのみ)
 
アプリケーション制御 アプリケーションをシグネチャマッチにより識別・制御することにより業務上使用しないアプリケーション(IM、P2P、ゲーム等)を経由したマルウェア感染を防ぐ。
(Webのみ)

(P2Pなど一部通信の識別)
 
(プロセス単位)
プロセス、ファイル、メモリ、ディスク監視 PC内部のプロセス、ファイル変更履歴、ライブラリなどを元に監視し、事前設定やシグネチャによりアラートする。標的型対策製品の場合、実行ファイルをホワイトリスト化することで起動を制限する機能や、監視対象のネットワーク隔離機能、侵入経路を調査する機能を持つものもある。        

出口対策

代表的な手法 技術概要 標的型対策製品のベース製品群とカバー範囲
Webプロキシ IPS
/IDS
アンチウィルス/スパム GW UTM/次世代FW エンドポイントセキュリティ
FW、Webプロキシによる通信制限 HTTP以外の独自プロトコルでC&Cサーバへ接続するマルウェア、プロキシに対応していないマルウェアの外部通信を遮断する。また、あらかじめ許可したサイトやプロトコル以外の外部通信を制限する。    
Webアクセスのユーザ認証 Webアクセスするユーザに対してユーザ認証を行い、簡易なマルウェアの通信を遮断する。      
HTTPヘッダによるホワイトリスト User AgentなどのHTTPヘッダを参照し、組織内の端末で使用する以外のヘッダ情報が付与されているなど あらかじめ登録したホワイトリストにより、それ以外の通信を遮断する。      
HTTPリダイレクト Java ScriptやMETAタグを使用したリダイレクトを端末へ送信し、その応答によってブラウザ通信とマルウェアの通信を判断する方法。        
ドメイン、国、IPレピュテーション(ボットネット/C&Cサーバ) C&CサーバやボットネットのIP・ドメイン情報をシグネチャマッチで検証する。標的型攻撃対策製品の場合、リアルタイムにベンダーサイトへ確認する機能や国別の接続フィルタ機能を持つ場合が多い。      
URLフィルタ(ボットネット/C&Cサーバ) C&Cサーバやボットネットのドメイン、URL情報をシグネチャマッチして検証する。標的型攻撃対策製品の場合、リアルタイムにベンダーサイトへ確認する機能を持つ場合が多い。    
ネットワーク振る舞い検知 通信状況を学習し、通常とは異なる通信を確認した際にユーザや管理者へアラートや通信を遮断する。      

さらに、これらの技術手法を眺めてみると、次の3つに分類することが可能です。

  1. 許可する通信経路や通信特性をあらかじめホワイトリストとして定義しておき、それ以外の通信に対してアラート/遮断する。
  2. ベンダーがリアルタイムに提供するシグネチャ(定義ファイル)により、マルウェアの侵入やマルウェアが行う外部への通信をアラート/遮断する。
  3. ネットワークやPC内部の振る舞いを学習し、学習結果と挙動を確認した場合はアラートする。

「シグネチャによる技術」は攻撃を確実に検知・遮断することができる一方で、ゼロデイマルウェアの検知や日々生成・破棄されるC&Cサーバ(特に感染活動が旺盛なボットとは異なり、標的型攻撃で用いられる限られた人のためのC&Cサーバ)を検出できるかどうかは、ハニーポッドやクローリングなどセキュリティベンダーのマルウェア収集能力と解析能力が防御の精度を左右することになります。
一方、「振る舞い検知タイプ」は未知の脅威を示すアラートや情報提供を行ってくれますが、その判断や解析には専門家や継続的な調査が可能な人材を必要とする場合が多くなります。
そこで注目を集めているのが、新たなアプローチで標的型攻撃を検知・防御する「FireEye MPS」です。

異なるアプローチを採用する「FireEye MPS (Malware Protection System)」

2004年に設立されたFireEye社は、シリコンバレーを拠点とし、高度マルウェア、ゼロデイ攻撃、標的型サイバー攻撃と闘うリーディングカンパニーです。特に注目すべきは、前述した3つの技術手法とはまったく異なるアプローチの技術手法により、既存の製品(次世代FW、IPS、アンチウィルス、セキュアゲートウェイなど)をすり抜けた攻撃を検知・防御するソリューションを持っていることです。

FireEyeも他のセキュリティ製品同様に標的型攻撃には多層防御を提唱していますが、シグネチャベースの検知技術を用いた既存の製品による“既知の攻撃”に対する防御とともに、FireEyeの提供するシグネチャレスな検知技術による“未知な攻撃”に対する防御を行うべきだとしています。(図1)

異なるアプローチを採用する「FireEye MPS (Malware Protection System)」

図1

FireEyeが提供するMPS(Malware Protection System)製品を支えるコア技術は、「VXE (Virtual eXecution Engine)」と「Callback Filter & MPC (Malware Protection Cloud)」の2点です。次に、これらのコア技術を詳しく説明していきます。

仮想実行エンジン「VXE」とは

VXEとは、すべてのMPS製品が搭載する特許技術であり、高度なマルウェアをリアルタイムに検出することができる仮想実行エンジンです。モニタする通信パケットをキャプチャしながら、ゼロデイ・標的型攻撃のトリガとなる疑わしい(Suspicious)なWebコンテンツ、Emailの添付ファイルなどを複数の仮想マシン/ネットワーク環境を用いて動的に解析することが可能です。

仮想実行エンジン「VXE」とは

図2

FireEye WebMPSの場合、スイッチのスパンポートを用いてミラーリングしたパケットからHTTP通信をモニタします。この時点で、Webコンテンツの難読化を行うJava Scriptや実行形式ファイルのダウンロードなど“攻撃のトリガ”となりうる疑わしい通信を、シグネチャベースの技術のみでは判定が難しいグレーゾーンなものも含めてすべて検出します。(図2)

検出した通信は、実際にクライアントPCとインターネット上のWebサーバ間で行っているパケットキャプチャを元にVXEの仮想環境内で実行します。(図3)仮想環境内の仮想Windowsマシンには、Windows OSだけでなくIEやFireFoxなどのブラウザ、JavaやAdobeなどのプラグイン、Word, ExcelなどのOfficeソフトウェアがインストールされており、アプリケーションの脆弱性をついた攻撃が再現できるようになっています。

仮想実行エンジン「VXE」とは

図3

VXEの仮想環境内で通信を再現した結果、仮想マシン内で発生するすべての変更内容(ファイルのオープン/クローズや作成/変更/削除、レジストリ変更、コールしたAPI、アドレスなどのマルウェア感染履歴)が記録され、その挙動からマルウェアを識別することが可能となります。この情報は管理GUIから閲覧でき、FireEyeがなぜマルウェアと判断したのかまで確認できるようになります。

仮想実行エンジン「VXE」とは

図4

また、VXEは仮想マシンのみが単体で動作するサンドボックスではなく、マルウェアが行うC&Cサーバを含む外部サーバとの通信挙動も、仮想環境内の閉じたネットワーク環境のみで実行できます。(図4)これにより、マルウェアがどのサイト(URL情報)へアクセスし、どのような情報をアクセスする際に送信するのか(User Agentなどのヘッダ、パラメータなど)というコールバック情報を、実ネットワーク上での発生有無に関わらず収集することが可能です。また、HTTPに限らずSSL、FTP、IRCなどのプロトコルにも対応しています。

このようにVXEは、マルウェアを動的に解析するための環境を提供し、単独、シグネチャレス、かつリアルタイムにマルウェアの識別やコールバック情報を収集することができます。

FireEye MPSはVXEの仮想環境を同時に複数稼働させることが可能となっており、並行処理で疑わしい通信の動的解析と仮想環境のリフレッシュを繰り返すことで全体の解析処理速度を上げるように工夫されています。なお、並列処理を行う仮想環境の数は機器モデルによって数が異なります。

高度なフィルタ「Callback Filter & MPC」とは

Callback Filterは、マルウェアがC&Cサーバやサイバー攻撃者のサーバへ情報提供を試みる外部通信を検知/防御するためのフィルタであり、VXEで検出したマルウェアから収集した情報により、自動的に外部サイトで調査をすることなく未知の攻撃を既知の攻撃として独自に学習し、シグネチャを自動生成します。(図5)

高度なフィルタ「Callback Filter & MPC」とは

図5

また、Callback Filterで検知した通信パケットはキャプチャされ、管理GUIから確認・ダウンロードすることが可能です。送信した内容やサーバからのレスポンスを見ることにより、通信が確立されたのかどうか確認することもできるようになります。(図6)

高度なフィルタ「Callback Filter & MPC」とは

図6

一方、FireEye社のMPC(Malware Protection Cloud)に加入することで、FireEye社、テクノロジパートナー、全世界で稼働するFireEyeユーザから提供されたマルウェアやコールバック情報の供給を受けることができるようになります。(図7)

高度なフィルタ「Callback Filter & MPC」とは

図7

このように、全世界に設置されているFireEye MPSが未知の攻撃やマルウェアの収集・解析・シグネチャ生成を行う端末となり、MPCがマルウェアを用いたゼロデイ攻撃や標的型攻撃を既知の情報として学習/共有します。なお、グローバルフィードバックでMPCへ提供される内容には、ユーザのホスト名やIPアドレス情報などユーザを特定する情報は含みません。

まとめ

今回は、シグネチャレスな解析によってゼロデイ攻撃や標的型攻撃で使用されるマルウェアの侵入検知(入口対策)及びコールバック情報の収集を行う「VXE」をはじめ、実環境でのコールバック検知(出口対策)を行う「Callback Filter&MPC」に関する技術手法について解説することで、FireEye MPSが持っている2つのコア技術とその特徴について見てきました。

しかし、動的解析による検知技術は、VXEのような高度なサンドボックス環境が必要なだけでなく、仮想環境内で感染行動を発生させて疑わしい通信かどうかを判定するために、数十秒から数分間の解析処理を必要とします。そのため、既知/未知を含めたすべての攻撃からの防御やマルウェアの検出処理をこの技術だけでカバーするのは困難な部分もあります。

標的型攻撃対策への基本的なアプローチは多層防御であることに変わりはなく、シグネチャレスな対策はシグネチャベースの対策手法と組み合わせることにより、最も効果を発揮するのです。(図8)

まとめ

図8

次回は、実環境で確認された標的型攻撃メールの実例及びマルウェアの挙動をはじめ、FireEyeが検知した後の優先順位や対応方法など運用面の考え方について紹介したいと考えています。

いつか見た景色 from Staff's Albums