Gumblerからも高精度で保護する「TREND MICRO ビジネスセキュリティ 6.0」

最新の脅威にも的確に対応、検出力を超える“防御力”とは

 IT関連メディアにとどまらず、新聞などの一般メディアをも賑わす事態になっている「Gumbler(ガンブラー)」攻撃は、正規のWebサイトなどを改ざんし、ユーザーが気づかぬうちに不正なWebサイトへリダイレクトさせてファイルをダウンロードさせるという手法で行なわれる。

Gumbler対策の難しさ

中小規模企業向けの「TREND MICRO ビジネスセキュリティ 6.0」のパッケージ。パッケージ版の標準価格は、新規ユーザー向け5ユーザー版パッケージで2万8875円(1ユーザーあたり5775円)。2年目以後は2万3100円となる

 Gumbler攻撃には巧妙なポイントがいくつかある。まずは、ユーザーが信頼を置き、安心してアクセスしているであろう正規Webを改ざんすることによって、不正なWebサイトへの誘導を行なう点だ。これは防御側の対応を難しくしている。

 長く続いている著名サイトでは、感染サイトをブラックリストに入れるどころか、ユーザー自身の手によってWebブラウザーの“お気に入り”に登録されていることもあるだろう。いわば、ユーザー自身が信頼済みのサイトと言える。これを、無条件でアクセス遮断するのは難しい。

 次いで、転送先として指定された不正Webサイトへのアクセスを捕捉する手法も考えられるが、こちらも短期間で次々移転を繰り返すことが多く、対策は容易ではない。

 最後に、最終的にダウンロードさせられる不正コード/マルウェアを検出することができるかどうかが最終的な防壁となるわけだが、これは使用しているセキュリティ・ソフトウェアの対応いかんにかかっている。一般論としては、昨今のマルウェアは変種の発生がきわめて早く、めまぐるしく変化していく例が多いため、パターンファイルやシグネチャと呼ばれる検出用データを作成するのが間に合わないこともある。

ガンブラー攻撃の流れ

 一般紙でも大きく報じられたことからもわかるとおり、Gumblerはさまざまな被害をもたらしたわけだが、その理由としてこの攻撃がそもそも従来のセキュリティ・ソフトウェアでは防御しにくい手法を組み合わせたものだという点が挙げられる。

 とはいえ、諦めるしかない、という話にはならない。こうした攻撃に対しても有効な防御力を発揮するセキュリティ・ソフトウェアも存在する。たとえば、トレンドマイクロが中小規模企業向けに提供している「TREND MICRO ビジネスセキュリティ 6.0」で採用されているクラウド型の防御技術である“TREND MICRO SMART PROTECTION NETWORK”では、Gubmler攻撃で使用された転送先不正Webサイトのうちの実に96%を検出し、アクセスをブロックすることが可能だったという実績を上げている(2009年11月のデータ)。

Webからの脅威のイメージ図。1つの不正プログラムが次の不正プログラムを呼び込むように設計されている

SMART PROTECTION NETWORKとは何か?

 そもそも、TREND MICRO SMART PROTECTION NETWORKとはどのような仕組みなのだろうか。TREND MICROでは、端的に「クラウド・クライアント型の新しいエンドポイントセキュリティソリューション」と説明しているが、実態としてはローカルに持つことは到底不可能な大規模なデータベースである。

 しかも、全世界のユーザーが日々情報を登録/更新し続けて常に最新のデータを保持している。この膨大かつ精緻なデータを背景にした高度な判断が、同社のセキュリティ・ソリューションを背後から支えている。

 SMART PROTECTION NETWORKの中核を構成するのは、「レピュテーション」「相関分析」「スマートフィードバック」の3つの技術要素となる。

 このうち、中核となるレピュテーション技術は、さらに「ファイルレピュテーション」「Webレピュテーション」「E-mailレピュテーション」の3つのレピュテーション技術から構成される。

SMART PROTECTION NETWORKでは、「ファイルレピュテーション」「Webレピュテーション」「E-mailレピュテーション」の、3つのレピュテーションを相関分析し、クラウドで脅威のデータをリアルタイムで更新する

 「ファイルレピュテーション」によって、安全なファイルと危険なファイルを評価。「Webレピュテーション」によって、Webサーバーの評価情報をベースにリンク先をチェックし、危険なサイトへのアクセスを未然にブロックする。「E-mailレピュテーション」により、送信元メールサーバーのIPアドレス情報を、評価情報をベースにメール受信前にチェック、スパムメールをブロックする。

 これらのレピュテーション技術を集積したクラウドから提供するレピュテーションは、ファイルやURL、メールアドレスの評価情報を集積した巨大なデータベースとなる。

 もっとも、これだけなら競合他社でも似たような取り組みを行なっている例がある。トレンドマイクロでは、こうしたデータベース構築にいち早く取り組み、独自にデータベースを構築する課程で技術を蓄積してきた点に特長がある。

 セキュリティ関連では買収によって新しい技術を強化するケースが少なくないが、企業買収によって技術を取り込んだ場合には、取り込んだ新技術のデータベースと、既存のシステムのデータベースを連携させるのはなかなか難しく、時間がかかる場合が多い。

 自社技術だけで構築してきたトレンドマイクロの取り組みの成果を端的に示すユニークな技術が、相関分析だ。これは、前述の3つのレピュテーション情報を相互に関連づけてより詳細に分析することで潜在的なリスクをあぶり出す手法だ。

 たとえば、メールレピュテーションでスパムと判定されるメールを大量に送信し続けているメールサーバのIPアドレスと同じアドレスを使っているWebサイトは怪しいと疑われるし、さらにそのWebサイトからダウンロードされたファイルに関しては警戒して損はない、といった具合だ。

 個々のデータベースを独立に運用するのではなく、相互にデータを関連づけることでより精度の高い推定を可能にするのが相関分析だ。この技術があってこそ、Gumbler攻撃で使われた転送先Webサイトのほとんどが、あらかじめ「怪しいWebサイト」として登録済みだった、という実績が生まれたというわけだ。

 Gubmler攻撃もそうだが、最近の不正攻撃は基本的にインターネットを舞台に展開される「Webからの脅威」が中心となっている。ユーザーが気づきにくいところに罠を仕掛けたり、被害にあったことすら気づかせないように複数のマルウェアを組み合わせて多段攻撃を仕掛けたりと、その手法は複雑化し、より巧妙になってきている。

 従来のセキュリティ・ソフトウェアの中核的な防御手法だったパターンファイルやシグネチャといったマルウェアのデータベース照合だけでこうしたWebからの脅威に対抗するのは限界もある。

 こうした状況下でTREND MICROがいち早く取り組んだのが「防御力の強化」だという。実は、従来のセキュリティ・ソフトウェアの性能比較は「検出力」についてのみ行なわれていた。

 検出力とは、実際には「既知のマルウェアをちゃんと検出できるか」という性能を示している。具体的には、PC上にマルウェアのファイルをコピーしてスキャンを実行し、すべてを検出できるかどうかを試してみる、という手法だ。

 これはこれでもちろん意味があるのだが、一方でWebからの脅威に対抗するには、大本を絶つという発想もあってよいだろう。つまり、不正な攻撃を仕掛けるようなWebサイトへのアクセスを遮断できれば、マルウェアの検出という作業がそもそも不要になる。

 これは言うだけなら簡単だが、実際には容易でないのはもちろんだ。しかし、SMART PROTECTION NETWORKを運用中のTREND MICROはこの新たな手法に取り組み、成果を上げている。

TREND MICRO ビジネスセキュリティ 6.0

トレンドマイクロ株式会社 コンシューマ&SBマーケティンググループ プロダクトマーケティングマネージャーの坂本健太郎氏。「トレンドマイクロのクラウドテクノロジーであるSMART PROTECTION NETWORKがGumblerから守ります」

 TREND MICRO ビジネスセキュリティ 6.0は、同社が中小規模企業向けに提供するエンドポイントセキュリティソリューションである。SMART PROTECTION NETWORKを背景とした高度な防御力はもちろん、運用管理に手間をかけられない中小規模企業の状況を踏まえ、さまざまな攻撃手法に網羅的に対応するとともに、ビジュアルなインターフェイスを活用したシンプルな運用管理を実現した製品となる。

 最新リリースでは、Windows 7/Windows Server 2008 R2といった最新のOSにも対応しており、業務で利用するPCを確実に保護することができる。

 全面的にクラウドを活用するアーキテクチャとなっているため、日常的なウィルスチェックなども効率化されている。スマートスキャン機能では、SMART PROTECTION NETWORKのファイルレピュテーションを利用してマルウェアのチェックを行う。

 SMART PROTECTION NETWORKの3つのレピュテーション技術の中でも、Webレピュテーション技術はとくにGumbler攻撃に有効だ。Webレピュテーション技術を利用することで、Gumbler攻撃による悪質サイトへのリダイレクトを96%までブロックすることが可能だ。

 また、常に最新のパターンが利用できるため、パターンファイル更新のタイムラグによるリスクを最小限レベルにとどめる。同時に、パターンファイルの定期更新によるトラフィック増大でネットワーク帯域を圧迫することも避けられるという効果があり、特に回線帯域に余裕のない企業では大きなメリットとなる。

 このほか、今バージョンから新たに追加された機能に、「URLフィルタリング」がある。明確に危険と見なされるWebサイトへのアクセスは、Webレピュテーションによって自動的に遮断されるが、それ以外にも「怪しいWebサイトというわけではないが、業務用PCからアクセスするのは適切ではないWebサイト」というものも存在する。こうしたサイトについては、管理者が明示的に指定することで業務時間内のアクセスを禁止することもできるようになった。

 新たなウィルス感染源となってきたUSBメモリに関しても、「USB自動実行の防止」機能が搭載され、対策が施されている。

 最近のセキュリティ攻撃は、以前のような技術力誇示や愉快犯的なものではなく、プロの犯罪者が経済的利益を狙うものが大半となっている。そのため、最終的にはアカウント情報やパスワード、口座やクレジットカードの番号など、何らかの手段で換金可能な情報を狙ってくる例が多い。

 被害に遭ってしまうと直接的な経済被害が生じるリスクが高いほか、万一顧客の個人情報などを流出させてしまった場合には二次的な風評被害なども生じる可能性がある。こうしたセキュリティ・リスクは企業規模によらないため、中小企業であっても万全な体制を整えておくことが望ましい。

TREND MICRO ビジネスセキュリティ 6.0は、インターネットに潜む多種多様な脅威にワンパッケージで対応。セキュリティの専門スタッフがいないことも多い中小規模企業向けを想定しているため、設定もわかりやすいインターフェイスを心がけたという

 とはいえ、現実にはコストの制約もあれば運用管理担当者の確保が簡単ではないなど、中小規模企業ならではの制約があるのも事実だ。保護性能に関してはトップレベルだが、導入コストや運用管理負担に関しては中小規模企業向け、という製品を選びたいところだ。TREND MICRO ビジネスセキュリティ 6.0は、そうした需要に対応する製品と言えるだろう。


関連情報

(渡邉 利和)

2010/2/18 11:00