「ベストオブブリード」の視点から選ばれた標的型攻撃対策とは　（ウォッチガード）

セキュリティ対策に必要な機能をひとつのコンパクトなアプライアンスにまとめたUTM「XTMシリーズ」を展開するウォッチガード・テクノロジー・ジャパン株式会社。

2014年4月には、新たに標的型攻撃対策として、米Lastline社のクラウド型次世代サンドボックス技術を使用した「WatchGuard APT Blocker」を新機能として発表した。UTM内のそれぞれのセキュリティ機能に対して最適な技術を組み合わせるる「ベストオブブリード」を掲げる同社がなぜLastline社を選んだのかなど、新機能について同社マーケティングマネージャ　堀江徹氏とプリセールスエンジニア　正岡剛氏に話を聞いた。

――最近の標的型攻撃の傾向などについて教えてください

――堀江氏
企業をターゲットとした標的型攻撃は依然として活発に行われており、攻撃の50％が従業員数2,500名以上の大企業を標的としています。しかし、見方を変えれば半数は従業員数2,500名以下の中小企業が標的になっているわけです。近年では特に250名以下の小規模企業が被害を受けるケースが増加しており、2011年から3倍に増加、今では攻撃全体の31％を占めるまでになっています。中小規模企業では予算や人員の関係から十分なセキュリティ対策ができておらず、標的型攻撃に対するセキュリティ意識も高くはないのが現状です。しかし、中小企業は大企業との取引もあるため、重要な情報を持っているケースもあります。また、大企業や政府機関への攻撃の踏み台として利用されるケースもあり、現在は、中小企業においても標的型攻撃を視野に入れたセキュリティ対策が必須となっています。

――新たに搭載した標的型攻撃対策について教えてください

――正岡氏
今回、Lastline社の標的型攻撃マルウェア対策を「WatchGuard APT Blocker」として搭載しました。Lastline社は、2011年にカリフォルニアで設立された会社で、設立までに8年の研究開発を経るなど技術的なバックグラウンドが豊富な会社です。専門化に広く知られるマルウェア分析のための「Anubisシステム」を開発した実績を持っています。

最近の標的型攻撃に使用されるマルウェアは、サンドボックスの回避機能を備えている場合も多くあります。例えば、最新の攻撃者向けのゼロデイ攻撃作成ツールにはアンチサンドボックスという機能が搭載されており、サンドボックスを潜り抜けられるかどうかを確認する仕組みを持っています。一般的なサンドボックス型のセキュリティ製品は、疑わしいファイルを仮想環境などのOS上で実際に動作させ、C＆Cとの通信や他のマルウェアをダウンロードするといった動作が確認された場合に「危険なもの」と判断し、シグネチャに追加する手法を使用しています。。

　しかし最近の進化したマルウェアは、サンドボックスで実行されることを検知すると、これを回避するために様々な手法をとります。一つの例としてSleepによる回避があげられます。サンドボックスでの検知は数分ですので、Sleepコマンドにより活動を休止し、サンドボックスによる検知を回避するわけです。
「APT Blocker」の最大の特徴は、CPUやメモリまで再現する「コード・エミュレーション」によって、このような回避的な振る舞いを検知することができることです。
この「次世代型フルシステムエミュレーション」により回避型マルウェアの検知を可能にしています。

実際の検知のフローとしては、まずはXTMシリーズがローカルで保持しているハッシュ値をベースに脅威であるかどうかを確認し、疑わしいものはクラウド上のリモートサイトにあるハッシュ値と比較して照合します。どちらにも記録がない場合には、クラウド上のサンドボックスへ検体をアップロードし、実行解析を行います。これにより「APT Blocker」では、exeファイルやDLLファイルをはじめ、すべてのWindowsの実行ファイル、さらにはAndroid APKまで幅広く対応しています。大量のオブジェクトを高速に検査できるため、高速なインスペクションを実現していることも特徴です。

――特に中小企業に有効なポイントはありますか

――堀江氏
中小企業には、巧妙化・悪質化など進化し続け、中小企業を標的とした攻撃の急増といった「増え続けるセキュリティの脅威」、経営者のセキュリティ対策への理解が十分でないことによるセキュリティ対策予算の不足などの「セキュリティ対策コスト」、そして「セキュリティ管理者・技術者の不足」という3つの課題があります。また中小企業では、感染に気づくまでに平均80日かかっていることや、せっかくセキュリティ対策機器があってもログを活用していないという実情があります。

そのような実情を踏まえてセキュリティ対策を行うためには、可視化が必須です。可視化のためのツールは通常、数百万円するものも少なくありません。これが中小企業における適切な対策の障壁となっているのです。そこでXTMシリーズでは、分析レポート機能として「WatchGuard Dimension」というツールを標準機能として無償提供しています。「Dimension」では、例えばAPT Blockerが検出したマルウェアの詳細や、社内でC＆Cサーバとの通信が発生していないかを確認することはもちろん、XTMシリーズが搭載しているすべてのセキュリティ対策機能をひとつの画面から確認することができ、社内の脅威の状況を視覚的に把握することができます。

たとえば、通常の業務では通信の必要がない地域を「Dimension」で把握し、IPアドレスリストを確認、エクスポートしてブロックサイトへインポートするといった対応も容易に行うことができます。これも、複数の対策機能をひとつのアプライアンスにまとめたUTMならではの運用のしやすさといえます。新しい攻撃が発生すると、専用機器の導入を勧められることがあるかも知れません。しかし、専用機器は独自の管理・運用が必要になったり、新たな多額の投資が発生したりします。当社のXTMシリーズなら、必要な機能をライセンスすることで有効にできるため、余分な負荷を軽減して必要な対策を実現することが可能です。

さらに価格面も特徴です。XTMシリーズには、すでに「アンチウイルス」「URLフィルタリング」「アンチスパム」「IPS」「アプリケーションの可視化と制御」「DLP」「レピュテーションセキュリティ」の7つの機能を搭載しています。搭載する機能は、ウォッチガードの「ベストオブブリード」の視点から常に最高の機能を提供しています。これらの機能を、50～60名規模向けの「XTM3シリーズ」を例として、全てのセキュリティ機能と「APT Blocker」ライセンスを含め482,000円からご利用いただくことができます。既にXTM3シリーズを利用中のユーザは44,000円の追加ライセンスの購入で「APT Blocker」を機能追加することが可能です。

――ありがとうございました