who is looking at you?

添付書類に潜むマルウェアの攻撃を阻止せよ

このところ、組織を攻撃する巧妙なマルウェア攻撃が増えてきているという声をお客様やパートナー企業様から聞きます。その攻撃とは単純なものではなく、“不正アクセスされた”と定評あるウェブサーバーを踏み台にしてマルウェアに感染したコンテンツが送り込ませるというものです。 これには解決法があるのが救いですが、どうして従来の方法ではもはや対処しきれないのでしょうか。

アンチウイルスとサンドボックス - なぜ解決法にならないのか

これまでのアンチウイルスソリューションはマルウェアに対処する優れたソリューションでしたが、今となっては以前ほど効果的ではありません。これは攻撃型マルウェアの「独自の」進化、あるいはどのアンチウイルス ソリューションにとって検知のためのインスタンスが少なすぎることによるものです。アンチウイルスは同じマルウェアの複数のインスタンス(100万回以上の場合が多い)に基づいており、それから検知用にシグネチャーを作るからブロックできるのです。まとまったインスタンスがなければ、指摘するのは難しくなります。しかし、だからといってアンチウイルスを取り除いたりしてはいけません(!)新しい攻撃型マルウェアには対処できないものの、それ以外の何百万ものウイルスに対してはいまだに極めて有効なのです。アンチウイルスは新たな攻撃型マルウェアに対しては効果が見込めないので、異なるアプローチが必要です。- つまり、サンドボックスの導入です。

サンドボックスとは、よくわからない実行ファイルを「テスト」してその振る舞いが分析できる、隔離された実行環境のことです。これはアプリケーションにいえますが、一見害が無さそうに見える書類に埋め込まれ、アクティブコンテンツをサポートする能力を利用するマルウェアがだんだんと増えてきています。アクティブコンテンツ(たとえばマクロなど)自体は正当だったとしても、アクティブコンテンツが提供する制御は、容易にマルウェアにも転用できてしまうと言えます。

分析の結果、挙動が疑わしいと判断された場合、たとえば、よく知られた「悪意ある」サイトに誘導する、追加のコンテンツをアップロードやダウンロードする、などの振る舞いが見られた場合など、その書類や実行ファイルは感染していると判断され、ブロックされます。問題はサンドボックスを作動させる時間です。これによって書類の受領に遅延が起こることもあり、15分以上かかってしまうことも珍しくありません。これは今日のアジャイルなビジネス環境で許される時間ではありません。それに加えて、埋め込まれた最新世代のマルウェアは、サンドボックス内で作動中でも検知できてしまうのです。

アクティブコンテンツに隠れ、もっともらしく見えるファイルに隠れた巧妙な脅威を根絶し、しかもビジネスで必要とされるコミュニケーションのスピードを落さないためには - これまでとは違ったアプローチが必要です。

構造サニタイゼーション」がこれに対する答えになります。これはクリアスウィフトの最新の適応型セキュリティ ソリューションであり、Microsoft Office、Open Office、PDFといった書類からアクティブコンテンツを自動で除去し、ソースの感染を防ぎます。たとえば、(電子メールやウェブサイトからのダウンロードといった)受信する書類すべてに適用するといった包括的ポリシーは、シンプルで分かりやすく、問題の解決に効果的です。電子メールのコンテンツはマルウェアの不安なく、直ちに配信されます。必要ならば本文と添付書類はオフライン分析にかけるためサンドボックスに送ることもできます。

標的型攻撃 - 誰をターゲットにすべきかが、どうして分かってしまうのか?

ソーシャルメディアを社員の情報収集の手段として使うサイバー犯罪者の話をよく耳にします。ですから、何を公開してよくて、何を非公開とすべきは理解されています。社内規定で社員は働いている人間が誰か、どこで働いているか、職場の写真や職場の同僚の写真を公開してはいけないと規定している組織もあります。そうはいっても、これ以外にも情報の宝庫があるのです。- それは、企業や組織のウェブサイトです。といっても、ウェブサイトで公開されている詳細な情報のことではなく、サイトで公開されている書類のメタデータから収集できる情報のことです。

書類が作成される際に情報は書類の中のメタデータに格納されます。ここで筆者の名前や、企業のログインネームがわかることが多いのです。部門に関するこれ以上の情報が載っていたり、システムネームまでわかる場合もあるのです。こうした情報は外部のサイバー攻撃者にとって有益なものです。システムネームやログインネームは攻撃を作成するのに有効な情報ですし、フィッシング攻撃を作成するのに名前や部門名が助けになることだってあります。一般に公開されているウェブサイトから書類を自動的にダウンロードして、書類に含まれるメタデータを抽出、分析するオープンソースツールがたくさん存在しています。

Microsoft Officeなどの書類作成ツールには、メタデータを除去できるオプションがありますが、その機能自体や除去の仕方を知っているか、書類をウェブサイトで公開する際にメタデータ除去機能を使うことを忘れないかどうか、についてはユーザーに任されています。次世代の適応型セキュリティソリューションでは、これを自動的に、コンスタントに行うポリシーの設定が可能になりました。これをクリアスウィフトでは「構造サニタイゼーション」と呼んでいます。情報漏洩の原因となりうる情報を除去するからです。必要な場合には、ある種のメタデータ(たとえば、情報の分類)はそのままにしておく、といった決め細やかなポリシーが設定できます。

構造サニタイゼーション」と「ドキュメントサニタイゼーション」を使えば、標的型攻撃をもくろみるサイバー犯罪者を無力化し、受信する情報からはアクティブコンテンツの悪意ある部分を除去しつつ、必要な受信者に対してはビジネスクリティカルなコミュニケーションを安全に継続することができます。

あらゆる脅威がどんどん巧妙化している中、それを軽減するソリューションも進化しています。サイバー犯罪者による攻撃のアプローチ方法を理解することは、先進の適応型ソリューションで組織を守ることにつながります。先進のゲームチェンジャーテクノロジーがすでにもう登場しているのです。

関連情報:

  • アダプティブ リダクション (構造サニタイゼーション、ドキュメントサニタイゼーション)について詳しくはこちら

  • ARgon for Email (お手持ちのメールセキュリティやDLPソリューションはそのままで、アダプティブリダクションを導入できます。)