あなたのネットワークの見えないウイルス、見つけます
~見えない脅威にどう対処するか?!~
脅威は変化している
近年メディアやさまざまなセキュリティ対策メーカーのサイトに踊る「Webからの脅威」の文字。繰り返しになりますが、その背景には、ウイルスなどの不正プログラムの目的が、世の中を騒がすことを目的とした愉快犯から、金銭を目的とした組織的犯罪に大きく変化したことにあります。以前であれば、感染時には一目瞭然、誰が見てもウイルスに感染した事が明確でしたが、金銭目当ての犯罪の手段としてウイルスが売買され利用されている現在では、誰にも気づかれないよう侵入し、密かに活動を始め、最終目的である情報の搾取や端末の不正操作が行われるわけです。またこれらの活動は単一のウイルスによって達成されるわけではなく、複数のウイルスや不正プログラムが短時間のうちに連鎖的に活動します。
ウイルス対策の網を巧みに潜って活動するため、従来の対策だけでこれらの連鎖攻撃をくいとめる事は非常に困難な状況にあります。
この変化は、以下のような特徴に現れています
- 特定の不正プログラムの爆発的な感染拡大は影を潜め、特定の企業に対しての「ターゲットアタック」が主流になってきています。
- さらに同種の不正プログラムであっても、変種・亜種を、「短期間に大量作成」できるツールが簡単に入手できるようになっています。
- 目立つことを目的としていた不正プログラムは、「人目に付かない方向(見えない化)」に変化してきています。
- 攻撃は単体にとどまらず、感染した不正プログラムは、インターネットから新しいプログラムを次から次へとダウンロードし、「連鎖」します。
現在のウイルス対策が抱える課題
これまでの不正プログラム対策は、あくまで特定の不正プログラムを捕まえ、それを「検体」として分析、特徴をパターンファイルと呼ばれるデータベースに格納することで、次に同じプログラムに遭遇した際に、同じ特徴を手がかりに検出、対処するという方法が主流でした。ところが、前述のように、脅威が変わってきている中で、従来の対策だけでは、十分な対応がとれない場合が出てきています。ターゲットを絞った攻撃や、短時間に連鎖的に攻撃が行われるケースなど、パターンファイルが公開できた時点ですでに次のウイルスが活動を始めているといった事が発生するためです。解析済みの既知のウイルスには従来のパターンマッチング方式はとても効果的な対策ですが、以前のような万能薬ではなくなっているのもまた事実です。これらに迅速に対応するためには、従来のパターンマッチング方式を補完する新しい手段が必要なのです。
ふるまい検知:疑わしい挙動の検知
トレンドマイクロでは、パターンファイルによる検知では困難であるターゲット型攻撃や連鎖型の攻撃の予兆、疑わしい挙動を早期に検知し対応するためのソリューションとして「Trend Micro Threat Management Solution」を新たに提供していきます。
「Trend Micro Threat Management Solution」では、ネットワーク上のトラフィックを常時監視、疑わしいふるまいの予兆を捉え、危険度が高いと判断した場合は、即座に根本原因の追跡を行い必要があればクライアントPCの復旧までも行います。
「疑わしい」挙動から「不正な」行動を検出。トレンドマイクロのin the cloudによる分析サービス。
ここで重要なのが、攻撃の予兆や疑わしい挙動としてとらえたものは、検知の段階では、あくまで「疑わしい」という域を出ていないという事です。
「Trend Micro Threat Management Solution」では、専用の分析システムと、最新のレピュテーション技術を使用して、詳細なログ分析を実施することで、「疑わしい」挙動から、「不正な」行動を検出します。
Trend Micro Threat Management Solutionは、以下の 4つのコンポーネントからなる2つのスィートの連携で構成されます。
① Trend Micro Threat Discovery Suite
- Trend Micro Threat Discovery Appliance:
検知用のネットワークセンサースイッチのミラーポートに接続して、ネットワークトラフィックを監視する事により、これまで見つけることができなかった未知・亜種の不正プログラムによる疑わしい挙動を検出、可視化。検出されたログ情報を、トレンドマイクロに送信します。 - Trend Micro Threat Management Services:
in the cloudによるログの分析とレポートサービス専用の分析システムとレピュテーションを用いて、Trend Micro Threat Discovery Applianceが検知したログを詳細に分析。結果を日次・月次のレポートとしてご提供。
② Trend Micro Threat Mitigation Suite
- Trend Micro Threat Mitigator:
万が一の感染時の対処用サーバ(2008年第四四半期以降提供開始予定)。クライアントエージェントと連携した根本原因の調査と復旧を実行。処理結果をトレンドマイクロに送信。 - Trend Micro Threat Management Agent:
クライアントエージェントTrend Micro Threat Mitigatorと連携したPCの分析と、必要に応じて復旧作業を実施。
トレンドマイクロのin the cloudによって実現される分析サービスは、検知された複数のログ情報を相関的に関連付け、更には接続先のURLやIP情報を、レピュテーションデータベースと照合しながら、「疑わしい」挙動の情報をもとに、本当に不正なものであるか、どのような影響を及ぼす可能性があるかといった分析を行い、結果をレポートとしてお客様に提供します。
根本原因の排除
さらに「Trend Micro Threat Management Solution」では、検知された挙動の危険性が高いと判断した場合は、クライアントレベルでの追跡調査が実行されます。クライアントでは、エージェントが実行されたプロセスを可能な限り遡って感染の根本原因を分析、不正プログラムの存在が認められた場合は即座に復旧を行います。このように従来のようにパターンファイルを必要としない手法により、対策のための処理時間が飛躍的に短縮されます。
従来の手法との相互補完効果
以上のように、「Trend Micro Threat Management Solution」では、検知用のネットワークセンサーとin the cloudによるログ分析とレポートサービス、対処用サーバとエージェントによるクライアントでの根本原因の追跡と復旧機能が相互に連携しながら、新種ウイルスにも対応、攻撃の連鎖を早い段階で断ち切る事が可能になります。
レポートサービスでは、専門のアナリストによる検知傾向の分析などの分析結果に加えて、専門家からのアドバイスが提供されます。
巧みに姿を潜め、頻繁に形を変えるとともに、特定の企業のみをターゲットとして攻撃を仕掛け、さらに連鎖的に攻撃を繰り返す近年の不正プログラム。
今求められているのは、これまでのパターンマッチングを補完する、トレンドマイクロの新しい考え方「Trend Micro Threat Management Solution」といえるでしょう。
製品紹介のURLはこちら (http://jp.trendmicro.com/jp/campaigns/tms/index.html)
