脅威の解説
- ソリューションのカテゴリー/02_脅威の解説
「Webからの脅威」が従来の脅威と大きく違う点は、ユーザができるだけ気が付かないよう、ひそかに、巧妙に組み合わさった攻撃が連鎖的に行われる点にあります。
「Webからの脅威」 4つの特徴
- HTTP経由で配信される不正プログラム
- 一般的に使われるWebの技術を巧妙に組み合わせて不正利用
- シーケンシャルな攻撃と亜種の増えるスピードの速さ
- ユーザの許可なく密かに不正活動を行う
「Webからの脅威」は、ユーザが何気なくアクセスしたWebサイトがきっかけになる場合もあれば、巧妙なスパムメールがきっかけにもなります。興味をそそるような話題の内容のメールを送りつけ、ユーザが思わずメールのファイルやURLリンクをクリックすると感染し、さらに一度目の感染が次なる感染を引き起こすというものです。最新では、1つのウイルスから複数のウイルスに感染する例がほとんどです。
実際の被害にあった企業の例では、社員がアクセスしたWebから感染が始まり、社内で多重感染が短時間で広がってしまい、最終的には1000台のPCで30数種類の不正プログラムに感染する被害に至ってしまったケースがあります。感染パターンが次々Webを経由して変化するため、感染復旧処理にも多くの人手と日数を費やすことになってしまいました。
この企業でもウイルス対策はすでにしていましたが、新しい脅威への対策を怠っていました。Webからの攻撃や、亜種などへの対策なども遅れていたため、被害をさらに大きくしてしまいました。
常に最新の脅威への対策を行えるよう見直しをしながら、対策を強化していくことが重要なのです。
ファイアウォールやIPSなどは、DDoS攻撃やDNS攻撃、ネットワークウイルスなど脆弱性を狙った攻撃からの保護に有効です。ただし、一般的にインターネット接続のために利用されるポート80番は閉じることができないポートのため、ファイアウォールやIDS/IPSではトラヒックやパケットの中身や動きを見ての判断がベースになるため、接続先の相手がどういう相手かをチェックして怪しげな接続を予めブロックするのは難しいのです。
*IPS : Intrusion Prevention/Protection System (不正侵入予防・保護システム)
ファイアウォールの場合
送信元・先のIPアドレスあるいはポート番後ベースで通信を制御、そのためインターネット接続に欠かせないポート80番を閉じるとすべてのインターネット接続が許可されないことになってしまうため、制御が難しい。アプリケーションインスペクションタイプのものもあるが、通常のリダイレクトなどは怪しいものかどうかチェックすることは難しい。(連続した不審なアクセスが続くことをログ情報から分析し、ポートを閉じるなどの対策は可能だが、プロアクティブに止めることは難しい)
IPSの場合
TCPやUDPのパケットをキャプチャし、シグネチャをベースに攻撃パターンを含むパケットがないかをチェックする。攻撃パターンを見つけた場合、そのパケットをドロップする。DNS攻撃保護、DDoS攻撃保護、フラッド攻撃保護、ネットワークウイルス対策、バッファオーバーフロー保護などに有効。
