個別の標的型攻撃から共通点を見つける、クラウド型セキュリティインフラの拡張

2012年8月7日、都内で開催されたトレンドマイクロ社の記者説明会にて、同社のコア技術であるSmart Protection Network (SPN)の拡張について、同社セキュリティエバンジェリスト染谷征良氏から報道関係に向けたブリーフィングが行われた。

SPNとは同社がセキュリティ情報を蓄積・分析し、同社製品が参照するためのクラウド型セキュリティインフラだ。このたびの拡張により、脅威に対する防御力、即効性は向上し、ユーザの負荷は軽減されたという。本稿では、「モバイル対応」と「脅威の相関分析の強化」の2点の拡張ポイントを取り上げ、さらにその有効性について論じる。

●モバイル対応

モバイル端末の急速な普及に伴い、それに対する脅威も増している。たとえばAndroid向けの不正プログラムは、2011年の第四四半期にはおよそ1000個確認されていたが、2012年の上半期までに約25,000個に急増した。トレンドマイクロ社では、対応済みのWeb、メール、ファイルレピュテーションに加え、モバイル端末に対する脅威をデータベース化したMobile App ReputationもSPNに統合した。これにより、単にモバイル端末でSPNのセキュリティインテリジェンスを活用できるようになっただけでなく、WebとMobileのレピュテーションを関連付けることも可能になった。

●脅威の相関分析の強化

多くの組織が標的型攻撃にさらされるようになって2年以上が経過するが、同社の調べでは、約55%の組織がサイバー攻撃による侵入に気づいていない。トレンドマイクロ社は、保有するセキュリティ「ビッグデータ」の、さまざまな攻撃コンポーネントの相関分析を強化した。これにより、標的型攻撃をより迅速に特定し、より多くのケースで事前対応が取れるようにした。

ところで、それぞれの組織に特化した標的型攻撃を、既知のクリミナルインテリジェンスをベースにして対応可能なのだろうか。トレンドマイクロ社によれば「可能」であるという。同社は攻撃そのものではなく、その背後にいる攻撃者に着目する。たとえ攻撃は、それぞれのターゲット毎にユニークであっても、攻撃グループごとに、目的、悪用する脆弱性やツール、標的とする産業や業種、盗もうとする情報の種類などは共通するという。

説明会では、実際に相関分析に使われている相関図が示された。攻撃に使われるC&Cサーバなどのインフラや、脆弱なポイントといった各種コンポーネントと、その関連が図示されている。ここから、脅威の実態を浮かび上がらせ、さらにはその攻撃グループが次に繰り出す攻撃を予測する。

●Facebookの他、RSA FraudAction にもデータ提供

SPNは同社サービスに留まらず、捜査機関や他のセキュリティ企業との協力・協業において、さまざまな場面で活用されており、実績を挙げている。たとえば、インドや日本を標的としたLuckycatと呼ばれる攻撃が2012年3月に報告されたが、同社はこの攻撃者のFBIによる捜査と逮捕に貢献した。

また、EMCのRSA部門が提供するFraudActionサービス（主に金融機関向けに、フィッシングサイトの監視、検出、シャットダウンなどを行うサービス）では、SPNのウィルス、スパイウェア、スパムメール、他のマルウェアに関するデータが利用されている。

さらにはFacebookと2012年4月に提携し、日々Facebookへ投稿されるメッセージに含まれるURLが、バックエンドでSPNの不正URL情報と比較、評価されるようになった。

こうした効果を上げる一方で、クラウド型という構成をとることで、パターンファイルのサイズは小さく抑えている。記者説明会に臨席した同社代表取締役社長兼CEOのエバ・チェン氏は、開催中のロンドンオリンピックになぞらえ「より高く、より強く、より早く」と、SPNの方針を掲げた。

（株式会社イメージズ・アンド・ワーズ鳴海まや子）