チェックポイントのWebサイト - チェック・ポイント・ソフトウェア

CHECK POINT
SECURITY REPORT
2014
2014 CHECK POINT ANNUAL SECURITY REPORT
02 THREATS TO YOUR ORGANIZATION
2014 CHECK POINT ANNUAL SECURITY REPORT
チェック・ポイント
セキュリティ・レポート2014 年版
01
レポートの内容と調査方法
03
02
未知のマルウェアの爆発的増加
11
03
既知のマルウェア徹底されない対策
21
04
リスクの高いアプリケーション:
広がる組織内での利用
37
05
情報漏洩:
導入が急務の DLP
49
06
今後の脅威にも対応する新セキュリティ・アーキテクチャ:
Software-Defined Protection
59
07
チェック・ポイント・ソフトウェア・テクノロジーズについて
65
01
2014 CHECK POINT ANNUAL SECURITY REPORT
02
2014 CHECK POINT ANNUAL SECURITY REPORT
01
レポートの内容と
調査方法
03
2014 CHECK POINT ANNUAL SECURITY REPORT
01 INTRODUCTION AND METHODOLOGY
04
2014 CHECK POINT ANNUAL SECURITY REPORT
01
レポートの内容と
調査方法
プリントアウトをざっと眺めると、ハッカーがミルネット* に当たりをつけているありさまがよくわかる。エグリン、
カートランド、ボーリング等、都合十五カ所の空軍基地を狙ったが、どこも守りが固かった。ハッカーは各基地の
コンピュータに接続しては、ドアの取っ手をひねってみて、だめなら次へ移るという、相も変わらぬ芸のやり方である。
これを繰り返すうちに、
ハッカーはやがて空軍システム司令部宇宙課に行き当たった。彼は早速、ユーザ名〈システ
ム〉、パスワード〈マネージャー〉でドアをこじ開けようとしたが、うまくいかなかった。次いでユーザ名〈 ゲスト〉、パ
スワード〈 ゲスト〉を試したが、これもだめ。もう一つおまけに〈フィールド〉
〈 サービス〉ではどうだろう……。[…]
開け、ゴマ!コンピュータは大手を広げてハッカーを迎え入れた。フィールド・サービスは万能のマスター・キー
だった。しかも、これを手にしたハッカーはただのユーザーではない。彼は絶対の特権を与えられたのだ。[…] 南カ
リフォルニアはエル・セグンドの空軍基地の VAX 大型コンピュータに今、地球の裏側からハッカーが侵入している。
*…軍事研究用のネットワーク
クリフォード・ストール『 カッコウはコンピュータに卵を産む』
( 原題:The Cuckoo s egg)1
25 年以上前、1 人の UNIX 管理者が、75 セントの誤課金を
使用される技術や通信手段、侵入方法は、実話の舞台となった
きっかけに、東欧圏のスパイ組織が米国政府や米軍から機密
1980 年代後半から大きく変化していますが、侵害を受けた
情報を盗み出そうとしている事実を突き止めました。不審な
システムを特定し、インシデント対応を実施して将来の攻撃から
兆候から大がかりな侵入行為の発覚、そして侵入者との戦い
システムやデータを保護する試みは、規模や業種を問わず、現代
までを丹念に描いた作品『 カッコウはコンピュータに卵を
でも世界中の組織が頭を悩ませている本質的な課題です。
産む』は、2014 年の現在でも、セキュリティ対策の課題を
理解する格好のモデルであり続けています。
05
2014 CHECK POINT ANNUAL SECURITY REPORT
01 INTRODUCTION AND METHODOLOGY
情報の漏洩や流出などのデータ侵害事件が多発した 2013 年、
情報セキュリティの問題は、一般の人々にとっても大きな関心事
となりました。特に、米国政府の機密情報が持ち出され曝露さ
れた事件は、2013 年を通じてメディアで大きく取り上げられ、
外交問題にまで発展しています。またクレジット・カード情報の
大規模漏洩も頻発、大手小売業者や多くの一般消費者のホリ
デー・シーズンが台無しとなりました。サイバー戦争や「 ハク
ティビズム」2( 社会的、政治的な主張に基づくハッキング活動)
の台頭によって、人々と国家の間の対立が大きく変質すると
同時に、
「 Internet of Things」3( モノのインターネット)の
登場により、日常生活のさまざまな側面がオンラインでつながり、
セキュリティ脅威の影響を受けやすくなっています。
すべての組織が検討すべき 5 つの課題
1. 日進月歩で進化するセキュリティ脅威は、
組織にどのような影響を与えているか?
2. 組織が直面している脅威、最も懸念される
新しいリスクは何か?
3. これらの課題に対処できる
適切な戦略やツールは導入済みか?
ソフトウェアやサービスの開発、
運用が大きな負担になっていないか?
4. 翌年度にどのような対策を導入すべきか?
5. 組織全体のセキュリティをより確固たるものと
するためにはどうすればよいか?
またセキュリティ業界では、未知のマルウェア( 新種の脅威に
チェック・ポイントのセキュリティ・リサーチ・チームは、2013 年
限らず、検出不能な脅威を大量に作成、拡散する新たな手法を
におけるマルウェアや情報セキュリティに関する深刻な問題の
含む)が爆発的に増加する状況を受け、従来のセキュリティ戦略
傾向を把握し、2014 年以降の対策に役立てるため、1 万を超
やセキュリティ技術に対する疑問の声が高まっています。ごく
える組織から収集した1 年間のイベント・データを分析しました。
一般的なタイプのマルウェアでさえ、既存のセキュリティ対策
本レポートは、その調査結果をまとめた報告書です。2013 年に
では対応が困難になっているのが現状です。さらに、モバイルの
確認されたセキュリティ脅威やその傾向を詳細に分析した本
普及や IT のコンシューマ化、社員が会社の管理下にない個人
レポートは、組織が現在直面しているさまざまなセキュリティ
所有のツールを勝手に使用する「シャドーIT( 私物のパソコン、
問題に関する、セキュリティやビジネス担当責任者の理解向上に
スマートホン、タブレット型端末などを、会社の許可を得ずに
役立つようまとめられています。また、これらの脅威や今後の
業務に利用すること)」も、セキュリティ問題の複雑化に拍車を
出現が予想される脅威への対処に推奨されるセキュリティ対策に
かけています。
ついても解説しています。調査結果の要旨は以下のとおりです。
セキュリティ脅威の変化
Viruses
V
ウイルス
19
06
97
ワーム
20
04
アドウェア/
スパイウェア
20
07
DDoS/
APT
20
10
• ランサムウェア
• ハクティビズム
• 次世代 APT(大規模 APT ツール)
• Web インフラストラクチャ(DNS)の悪用
• 国家支援を受けた産業スパイ
20
14
2014 CHECK POINT ANNUAL SECURITY REPORT
01 INTRODUCTION AND METHODOLOGY
平均的な
組織における 1日
1分に 1回:
コンピュータが
不正な Web サイトにアクセス
3 分に 1回:
ボットが指令( C&C)サーバと
通信
9 分に 1回:
24
49
27
ユーザがリスクの高い
アプリケーションを使用
10
10 分に 1回:
9
3
1
既知のマルウェアが
H
mins
mins
mins
mins
mins
min
ダウンロードされる
27分に 1回:
未知のマルウェアが
ダウンロードされる
49 分に 1回:
機密データが組織外に
送られる
24 時間に 1回:
コンピュータが
ボットに感染する
図表 1-1
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
07
2014 CHECK POINT ANNUAL SECURITY REPORT
セキュリティ脅威の全体像
IT 環境のユーザ、データ、システム
ビジネス目標
ィを
テ
ュリ
キ
のセ する
織
組 理解
マルウェア - 脅威の動向
•
マルウェアの「マス・カスタマイゼーション」4 の普及により、
本レポートで使用されたデータ
未知のマルウェアが爆発的に増加。組織では、1 時間あたり 「 チェック・ポイント セキュリティ・レポート2014 年版」は、
平均 2.2 個の未知のマルウェア( それ以前に確認されてい
チェック・ポイントのセキュリティ・ゲートウェイで生成される
•
•
•
ないマルウェア)が検出されている
脅 威 分 析レポート( Security Checkup)5、Check Point
マルウェアへの接触や感染の件数が全体的に上昇。これは、
T h r e a t E m u l a t i o n 6 セ ン サ ー 、C h e c k P o i n t
標的型マルウェア攻撃の成功事例の増加に伴うもの。1 件
ThreatCloud ™ 7 、チェック・ポイント・エンドポイント・
以上のボット感染が見つかった組織の割合は、2012 年の
セキュリティ・レポート 8 から収集されたセキュリティ・イベント・
63% から73% へ増加している
データを共同調査、分析した結果に基づいて作成されています。
組 織内で使用されるリスクの高いアプリケーションが、
すべてのカテゴリにおいて増加。これは世界的に見られる
まず、各組織で実際に送受信されるネットワーク・トラフィックを
傾向。例えば BitTorrent が使用されている組織は、2012
検 査する、チェック・ポイントの Security Checkup 評 価の
年の 40% から63% へ増加している
データを基に、996 の組織で発生したネットワーク・セキュリ
情報漏洩インシデントが、業種やデータ・タイプを問わず
ティ・イベントのメタ分析を実施しました。これらのトラフィック
増加。情報漏洩インシデントにつながる問題が 1 件以上
は、高リスクなアプリケーションや侵入の試み、
ウイルス、ボット、
発生した組織の割合は、2012 年の 54% から88% に増加
機 密 情 報の漏 洩など、幅 広いセキュリティ脅 威を検出する
している
チェック・ポイントの各種 Software Blade9 によって検査され
ています。ネットワーク・トラフィックの監視は、インラインまたは
モニタ( タップ)
・モードで導 入されたチェック・ポイントの
セキュリティ・ゲートウェイ 10 によってリアルタイムで行われて
います。
08
2014 CHECK POINT ANNUAL SECURITY REPORT
01 INTRODUCTION AND METHODOLOGY
ネットワーク・トラフィックの監視時間は、全組織の平均で 216
地域
時間です。図表 1-2 に示すとおり、調査協力組織の業種と所在
A
使用して、9,240 の組織におけるイベント情報を分析しました。
24%
47%
29%
ThreatCloudは、世界中から送られてくるリアルタイムのデータ
P
EM
A
C
EA
南
これに加え、Check Point ThreatCloud が生成したデータを
北
中
*
*
米
国は多岐にわたっています。
阻止するために役立てられています。今回の調査では、2013 年
12%
業
他
産
セキュリティ動向を把握し、協調体制によってサイバー犯罪を
そ
の
れた脅威やマルウェアによる攻撃の情報は、世界規模での最新
業種
融
情報によって随時更新されています。ThreatCloud に集めら
金
膨大なセンサーが収集した情報であり、データベースはこの
1%
4 % コン
ているデータは、綿密な計画に従って世界各地に配置された
サ
通
官 信 ルテ
公
ィ
庁
ン
グ
が格納された大規模セキュリティ・データベースです。元になっ
15%
22%
46%
の 12ヶ月を通じて収集された ThreatCloud データを集約し、
分析を実施しました。
未知のマルウェアについてのデータは、2013 年 6∼12 月に
図表 1-2
かけてCheck Point Threat Emulationセンサーから収集され
ました。Check Point Threat Emulationは、
チェック・ポイント
*APAC - アジア太平洋地域と日本。EMEA - ヨーロッパ、中東、アフリカ地域
のゲートウェイで検出された不審なファイルをサンドボックスで
出典: チェック・ポイント・ソフトウェア・テクノロジーズ
動的に分析するクラウド・ベースの技術です。今回の調査では
848 の組織からThreat Emulation データを収集、匿名化の
上で ThreatCloud に転送して、集約、相関分析、詳細分析を
実施しました。
さらに、さまざまな組織から収集された 1,036 件のエンドポイ
ント・セキュリティ・レポートのメタ分析も行いました。この分析
では、各コンピュータにおける情報漏洩リスクや侵入リスク、
マル
ウェア・リスクを検証しています。分析に使用したエンドポイ
ント・セキュリティ・レポート・ツールは、コンピュータでアンチ
ウイルス・ソリューションが実行されているか、定義ファイルや
ソフトウェアのバージョンは最新であるかなどをチェックします。
本レポートでは、以上の主要データの分析結果に加え、一般に
公表されているセキュリティ・インシデントについても解説して
います。実際のセキュリティ侵害事例は、最新の脅威の特徴や、
それらが組織およびセキュリティ・コミュニティに与える影響の
理解にとって格好の題材となります。また本レポートに含まれ
る専門家による推奨事項は、現代のセキュリティ・リスクに対し
て効果的な戦略を策定し、適切なソリューションを導入する
指針として役立ちます。本レポートは、未知のマルウェア、既知
のマルウェア、リスクの高いアプリケーション、情 報 漏 洩に
ついて解説する各章で構成されています。
このツールは一般公開されており、チェック・ポイントの Web
サイトから無償でダウンロードすることができます。
09
2014 CHECK POINT ANNUAL SECURITY REPORT
02 THE EXPLOSION OF UNKNOWN MALWARE
10
2014 CHECK POINT ANNUAL SECURITY REPORT
02
未知のマルウェアの
爆発的増加
11
2014 CHECK POINT ANNUAL SECURITY REPORT
12
2014 CHECK POINT ANNUAL SECURITY REPORT
02
未知のマルウェアの
爆発的増加
未知のマルウェアがもたらす脅威
既知には限りがあり、
未知には限りがない。
アンチウイルスや侵入防御システム( IPS)をはじめとする従来
型のセキュリティ技術は、ソフトウェアのプログラムや設定に
トーマス・ヘンリー・ハクスリー11
存在する既知の脆弱性を狙った攻撃に対して高い効果を発揮
しますが、未 知 の 不 正コードに対する効 果 は 限 定 的です。
ハッカーは、従来型のセキュリティ技術が抱えるこの弱点をよく
理解しており、新たに作成したマルウェアや不正コードがこれら
のセキュリティ技術で検出されるかどうかを十分にテストした
HIMAN が発 見された経 緯は次のとおりです。まず、Threat
Emulation Service を利用している顧 客 環 境のチェック・
ポイント・セキュリティ・ゲートウェイが、
「 boca_juniors@
上で攻撃を開始します。
aol.com」を発信元アドレス、
「 Reception Invitation」を件名
ハッカーは、セキュリティ・ベンダーとの競争を通じて攻撃手法
とする、Microsoft Word 文書ファイルが添付された電子メール
を急速に進化させており、未知の脆弱性( ベンダーが把握して
を受信しました。Threat Emulation Serviceのサンドボックス
からパッチを提供するまでの猶予が 1 日未満の「 ゼロデイ脆弱
環境でこのファイルを開いたところ、既知の脆弱性( CVE-2012-
性」)と未知の感染手法を駆使して、セキュリティ対策のすり
0158)を悪用し、ファイルを開いたユーザの Local Settings\
抜けを試みます。
Tempフォルダに「 kav.exe」というファイルをドロップすること
が 分 かりました。このドロッパ ー・ファイル の 名 前 から、
2013 年末、Threat Emulation Serviceを担当するチェック・
Kaspersky 社 13 が提供するアンチウイルス・ソフトウェアの実行
ポイントのマルウェア研究者が、プロキシやアンチマルウェア・
ファイル名に偽装する意図が見て取れます。またこのマルウェア
ソリューションから自身を隠 する複数の高度な手法を駆使した
自体は、中国の APT( Advanced Persistent Threat)攻撃
新たなマルウェアを発見し、分析を行いました。
「 HIMAN」12 と
グループが関与したと見られる、複数の攻撃キャンペーンに関係
名付けられたこのマルウェアを利用した攻撃は、世界中の組織や
していると考えられています。さらに分析を進めたところ、kav.
IT セキュリティ担当者を悩ませている典型的な標的型攻撃で
exeは2 段階式のドロッパーであり、
自身を標的のシステムにイン
した。
ストールする際にファイル名を変更し、explorer.exeプロセス
をフックして不正なDLLを読み込むことが分かりました。
144 %
83,000,000
2013
34,000,000
2012年から2013年にかけての
2012
18,500,000
2011
18,000,000
2010
12,000,000
2009
新種マルウェアの増加率
出典: AV-Test.org
図表 2-1
13
2014 CHECK POINT ANNUAL SECURITY REPORT
2.2 個
各組織で1時間あたりに検出される
未知のマルウェアの平均数
既知のマルウェアのデータベースを調べたところ、その時点では
正 常にインストールされ、C&C サーバへの接 続を確 立した
いずれのアンチウイルス製品でも HIMAN を検出することは
HIMAN は、スクリプトを動的に作成して実行します。このスク
できませんでした。
リプトは、実行中のサービス、管理者権限のあるローカル・アカ
ウント、システム構成や感染マシンから認識可能なローカル・
このマルウェアは、一連のWindows 関数の呼び出しと相互排他
ネットワーク・コンポーネントに関するその他の情報を収集し
チェックを用いて、
不正なライブラリ( mswins64.dll)をプロセス
ます。その後、攻撃者はこれらの情報を元にローカル・ネット
に挿入します。このような手順を用いるのは、既存のアンチマル
ワークのマップを作成し、ネットワーク内を移動しながらさらなる
ウェア・ソリューションで検出されることなく、クライアント・
偵察活動を行い、サーバや各種システム、ビジネス・プロセスを
システムにマルウェアをインストールするためです。インストール
攻撃し情報を引き出す活動拠点を造り上げます。
されたマルウェアは、一般的なマルウェアによってよく利用されて
おり、アンチマルウェア・ソフトウェアが厳格に監視している
既知の手法と新たな手法を組み合わせて侵入先のネットワーク
レジストリ・パス以外のレジストリ・パスへエントリを書き込み
に足がかりを作り、機密情報を盗み出す HIMAN は、マルウェア
ます。このように攻撃者は、特殊なAPIコールやレジストリ・パス
作成者や攻撃者の柔軟性を示すと同時に、2013 年における
を組み合わせて、可能な限り検出を回避しようとしています。
セキュリティ担当者の課題を浮き彫りにする象徴的なマルウェア
であると言えるでしょう。
ここに示したHIMAN の挙動から分かるのは、
マルウェア作成者
が Windows の API コールや OS およびアンチマルウェア・
ソリューションの動作に深く精通しており、検出を免れるために
その知識を活用しているという事実です。このような方法で検出
を回避できるのであれば、ゼロデイ脆弱性を発見またはその
情報を購入するために、高いコストを費やす必要がありません。
高度な知識や手法が用いられているのは、マルウェアと指令
( C&C)サーバ間の通信や外部へのデータ送信においても同様
です。HIMAN は、Webブラウザに保存された認証情報を総当
たりで試して内部プロキシにアクセスします。また、収集した
データを外部に送信する際には、AES14 で暗号化した上で難読化
を行い、アウトバウンド接続のフィルタリングを回避しようと
します。
14
未知のマルウェアを検出できた
アンチウイルス・エンジンは全体の 10% 未満
その存在が最初に確認されたときの
マルウェア検出率
2014 CHECK POINT ANNUAL SECURITY REPORT
02 THE EXPLOSION OF UNKNOWN MALWARE
未知のマルウェアの作成は、
子どもでも可能なほど容易
次々と出現する未知のマルウェアの起源と進化
多数を狙うウイルスやボットに限られます。Stuxnet はおそらく
ここ数年、情報セキュリティの世界では、標的型攻撃とAPT が
数年間( 正確な数字は不明ですが)、発見されずに水面下で
大きな注目を集めています。APTと呼ぶ脅威が注目されたのは、
活動を続けていたものと推測されます。さらに、当時のウイルス
2010 年、Operation Aurora 攻 撃 やStuxnet とい うマ ル
やワームの大半( Code Red16 や Sasser17、その後に出現し
ウェアが発見されたときのことです。Stuxnet は、イランが核
た類似ワームなど)とは対照的に世間の注目には全く無関心で
開発に使用している遠心分離機の動作を妨害するために専用
した。Stuxnet の作成者が誰であれ、長期にわたる活動を意図
開発されたマルウェアで、敵対国によるイランへの攻撃活動の
していたことは間違いありません。
15
一環として使用されたものと見られています。
確固たる動機の下、特定の標的に狙いを絞って作成され、密か
この新手のマルウェアは、従来のマルウェア対策では対処が
に活動するStuxnet は、既存のアンチウイルス・ソリューション
困難な次の 3 つの特徴を備えていました。まず、特定の用途の
や侵入防御システムでは太刀打ちできない新世代のマルウェア
ために専用開発されたマルウェアで、特定の環境で特定の目的
を象徴する存在です。その後、次々と登場した新しいツールや
に使用される特定のシステムを攻撃するために、入念に設計、
戦略なしでは対応できないカスタム・マルウェアの先駆けと言い
開発されています。次に、アンチウイルス・ベンダーが運用して
換 えることもできるでしょう。前 述した HIMAN の 出 現 は、
いる一般的なマルウェア収集 / 分析ネットワークでは捕捉でき
Stuxnet に始まるマルウェアの進化が現在も継続中である事実
ない、存在自体が非常に珍しいタイプでした。このようなネット
を明確に示しています。
ワークで捕捉できるのは、過去 10 年間で主流だった、不特定
33 %
未知のマルウェアが埋め込まれた
感染ファイルのダウンロードが
1件以上発生していた組織の割合
15
2014 CHECK POINT ANNUAL SECURITY REPORT
世界規模で展開される標的型攻撃
2013 年 10 月22日、あるメディア企業に6 通の不審な
また使用されているペイロードは、この攻撃のためにカス
電子メールが届き、Check Point Threat Emulation
タマ イズ さ れ たトロ イの 木 馬「 ZBOT」19 の 亜 種 で、
Service による分析が行われました。電子メールの発信
「 Man-in-the-Browser」攻 撃、キー 入 力内 容 の 記 録、
元、件名、添付ファイル名は以下のとおりです。
フォーム入力内容の取得などの手段によって、インストー
ル先のコンピュータから情報を盗み出します。この添付
•
発信元:No-Replay@UPS.COM
•
ファイルとZBOTをVirusTotal20 で確認したところ、当時
件名:UPS Delivery Notification
•
の検出率はどちらも10%を割っていました。
添付ファイル名:invoiceBQW8OY.doc( MD5:
ad0ef249b1524f4293e6c76a9d2ac10d)
不正な文書のダウンロード元であるURLを複数分析する
と、そのサーバには一意のパラメータのリストが渡されて
仮想サンドボックスによる自動シミュレーションで添付
いました。パラメータの実体は、base64 でエンコード
ファイルを開いたところ、以下に示す複数の不審な動作が
された識別子で、標的の電子メール・アドレスを含んで
確認されました。
います。各 URL には、標的とされた国際的な大規模組織
•
Microsoft Word が異常終了して再起動し、空の
文書が開かれる
•
レジストリ・キーが設定される
•
新しいプロセスが開始される
( 金 融 機 関、世 界 的な自動 車メーカー、通 信 事 業 者、
官公庁、北米の教育機関および地方自治体など)に所属
するユーザの電子メール・アドレスが含まれていました。
標的とされている組織の傾向から、この攻撃は、ユーザの
認証情報や金融機関情報、組織の機密情報へのアクセス
この 結 果 から、Threat Emulation Service は 問 題 の
に利用できるその他の情報の窃取を目的とする標的型
ファイルを不正ファイルと断定しました。
攻撃キャンペーンの一環であると考えられます。
チェック・ポイントのセキュリティ研究者がさらに詳細な
分析を行った結果、6 通の電子メールに添付されていた
ファイルは同一内容であり、Microsoft Wordに存在する
CVE-2012-0158 の脆弱性を悪用する事実が判明しま
した。この 脆 弱 性「 MSCOMCTL.OCX RCE 18 」は、
リモートからのコード実行を可能にします。
35 %
未知のマルウェアが埋め込まれた
ファイルに占めるPDFファイルの割合
16
2014 CHECK POINT ANNUAL SECURITY REPORT
02 THE EXPLOSION OF UNKNOWN MALWARE
2013 年:楽観的な見通しも、
ウイルスやアンチボット、侵入防御システム(IPS)
ソリューション
最終的な被害は増加
でも検出できないタイプを指します。多くの場合、未知のマル
多くのセキュリティ管理者は、標的型攻撃、そしてその対策の
ウェアが高い感染力を維持できるのは出現から2∼3 日に過ぎ
ための新しいソリューションに精通しつつあります。特にネット
ません。ある程度の範囲に拡散するため、アンチウイルス・ベン
ワーク・ベースの自動サンドボックス技術は、既存のセキュリ
ダーが自社のグローバル・ネットワークで捕捉し、シグネチャを
ティ対策を補完する追加レイヤとして、大規模企業や公的機関
作成できるからです。
に広く導入されるようになりました。サンドボックス技術は、
ゲートウェイおよびエンドポイントに導入されたシグネチャ/
レピュテーション・ベースのセキュリティ対策をすり抜ける、
標的型マルウェアの検出に大きな効果を発揮します。
2013 年に爆発的に増加したマルウェアの特性を正しく理解する
には、この両者の区別が非常に重要となります。
未知のマルウェアの活動状況
しかし2013 年には、
「 未知のマルウェア」の出現頻度が大幅に
増加しました。純粋な未知のマルウェアというより、既知のマル
ウェアに難読化とAPT の検出回避手法を組み合わせたマル
ウェアが、世界規模の標的型攻撃で使用されるケースが増えた
のです(「 世界規模で展開される標的型攻撃」
を参照)
。
専用開発
のマルウェアを使用してピンポイントで行われる標的型攻撃が、
依然として大きな問題であるという現実に変わりはありません。
新たに浮 上したのは、マルウェアの「 マス・カスタマイゼ ー
ション」の普 及により、金 銭 的 利 益を目的とする広 範 囲への
世界中の組織で運用されているチェック・ポイントのエミュレー
ション・エンジン( 自動化されたマルウェア・サンドボックス
技術の進化形)は、2013 年、各組織で1 時間あたり平均 2.2 個
の未知のマルウェアを検出しました。1日あたり53 個という計算
になります。
チェック・ポイントのリサーチ・チームは、未知のマルウェアの
検出数が急増した主な理由は以下の 2 点であると考えています。
1.
攻撃者が、セキュリティ・ソリューションによる検出を回避
攻撃において、効果の高い標的型マルウェアを容易に使用できる
できる未知のマルウェアを大量に自動作成する仕組みを導
ようになったという問題です。
入している。さらに、攻撃の成功確率を高めるため、協調
型の攻撃キャンペーンによって世界中の組織を標的にして
「 未知」と「 ゼロデイ」の違い
いる。
未知のマルウェアとゼロデイのマルウェアは、正確に区別する
必要があります。ゼロデイのマルウェアとは、
まだ存在が知られて
2.
攻撃者が、マルウェアの数を増やすことによって、標的型
おらずパッチが提供されていない脆弱性を悪用するマルウェアを
攻撃に対する手動での調査および対応プロセスを飽和させ
意味します。一方、未知のマルウェアとは、悪用するのは既知の
ようとしている。
脆弱性や弱点であるものの、
出現時点では、最新の状態のアンチ
サンドボックス技術の仕組み
未知のファイル
仮想サンドボックス
検査サービス
無害なファイル
電子メールや
Web サイトからの
ダウンロード経由で
受け取ったファイル
図表 2-2
不審なファイルは、
ローカルまたはクラウド
の仮想サンドボックスに
送られる
仮想 OS で未知のファイル
を開いて実行し、不正な活
動を行うかどうかを監視
• レジストリ
• ファイル・システム
• サービス
• ネットワーク・ソケット
ファイルが無害であれば
元の宛先に送る。
不正なファイルに対しては
以下のいずれかを行う。
• アラートを発したうえで、
元の宛先に送る
• ブロックする
17
2014 CHECK POINT ANNUAL SECURITY REPORT
02 THE EXPLOSION OF UNKNOWN MALWARE
2013 年のマルウェア検出状況を分析すると、未知のマルウェア
続々と出現する新種マルウェア
の大半は電子メール経由で標的に送られており、そのうちほと
チェック・ポイントの 2013 年のマルウェア検出データを分析
んどのケースでは添付ファイルに埋め込まれています。最も多く
すると、世界中のネットワークに導入されたゲートウェイで未知
使用されているファイル形式は PDFで、エミュレーションにより
のマルウェアの検出数が急増している事実が分かります。この
検出されたファイル全 体の約 35% を占めていました( 図 表
ような傾向が見られるのは、チェック・ポイントのデータだけで
2-3)。PDFファイルに埋め込まれたマルウェアは、パッチ未適
はありません。独立系の IT セキュリティ/アンチウイルス調査
用の Adobe Reader に存 在する脆 弱 性を悪用します。また
機関であるAV-TEST21 のデータでも、1日あたり22 万以上の
EXE 形式やアーカイブ形式も広く使用されており、それぞれ
新しい不正プログラムが追加されており、年間の登録件数は
全体の 33%と27% を占めていました。
前年比 2 倍以上となる8,000 万件に上っています。
Microsoft Officeファイル形式で最も検出数が多かったのは
Word( .doc)形式ですが、サンドボックス技術で検出された
未知のマルウェアのファイル形式
ce
マルウェアを見ると、Word 以外の形式も攻撃に利用されている
対応していることが理由と考えられます)、TAR、RAR、7z、
27%
CAB など、その他のアーカイブ形式を使用したマルウェアも
F
D
形式でしたが( すべての Windowsシステムが ZIPファイルに
5%
またアーカイブ・ファイルを使用したマルウェアの大半は ZIP
P
Officeファイル形式から未知のマルウェアが見つかっています。
E
ファイル形式、複数の Excel 形式を含め、合計で 15 種類もの
EX
M
ic
r
ア
ー oso
カ
イ ft O
ブ
f
fi
ことが 分 かります。Word や PowerPoint のテンプレート・
33%
35%
検出されています。
各組織では、1 時間あたり平均 2.2 個の
未知のマルウェアが検出されている。
1 日あたりでは 53 個のペース
図表 2-3
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
2013 年のデータを詳しく調べてみると、新種マルウェアの
増加傾向とその広範囲に及ぶ影響がはっきりと見て取れます。
例えば調査対象組織の 3 分の 1では、未知のマルウェアが埋め
込まれた感染ファイルのダウンロードが 1 件以上発生してい
ます。
18
2014 CHECK POINT ANNUAL SECURITY REPORT
難読化ツールを使用した2つのマルウェアの共通点
昨今のマルウェア作成者は、アンチマルウェア・ソリュー
には Portable Executable( PE)24 パッカーに分類さ
ションによる検出を免れるため、専用の難読化ツール
れるクリプターです。Cryptolocker 25 のようにユーザ・
「 クリプター」を使用しています。またマルウェアがアンチ
データを暗号化するランサムウェアと混同されることがあ
マルウェア・ソリューションによって検出されるかどうか
りますが、クリプターは、各種の暗号化とエンコーディン
を確認する際も、サンプルがアンチマルウェア・ベンダー
グ、複数回にわたる巧妙な結合と再結合によって、実行
と共有されるVirusTotal のようなオンライン・ウイルス・
可能ファイルを無害なファイルに偽装します。
スキャン・サービスを避け、razorscanner、vscan( 別名
「 NoVirusThanks」)、chk4me などのプライベ ート・
検出されたサンプルは、ほとんどのアンチマルウェア・
サービスを利用しています。ハッカーのコミュニティに
ソリューションによる検出を回避できるタイプでした。この
おいて、クリプターは、検出の回避度合いに応じて「 UD」
サンプルを、別の国で検出された類似サンプルと比較した
( UnDetectable: 検 出 不 可)ま た は「 FUD」
( Fully
ところ、難読化の結果は異なるものの DarkComet ペイ
UnDetectable:完全に検出不可)に分類されています。
ロードは同一で、同じC&C サーバと通信していました。
2013 年、
Check Point Threat Emulation Serviceは、
れた 2 つのサンプルは、同じ攻撃キャンペーンで使用さ
難読化され、その時点で未知の存在だったマルウェアを
れているマルウェアであると判断できます。
以上の情報を総合すると、ヨーロッパと中南米で検出さ
23
検出しました。このマルウェアは、DarkComet という
リモート管理ツール( RAT)の配布を目的としています。
サイバー攻撃の高度化に伴い、セキュリティ脅威を巡る
当時検出されたサンプルには、PDBという文字列が埋め
動向は大きく変化し、ネットワークやデータの保護に必
込まれていた事実から、クリプター「 iJuan Crypter」を
要となるセキュリティ・ソリューションも変化しています。
使 用 し て 作 成 さ れ た も の と 考 え ら れ ま す( iJuan
ヨーロッパと中南米で見つかったこの 2 つのサンプルから
Crypter には、UD に対応した無償版とFUD に対応した
は、こうした高度な攻撃の内部事情をうかがい知ることが
有償版が用意されています)。iJuan Crypterは、技術的
できます。
このように未知のマルウェアが急増している1つの要因としては、
推奨事項
従来は専門のスキルとツールが必要だった難読化を容易に行
2013 年は、未知のマルウェアが爆発的に増加しました。多くの
えるようになったことが挙げられます(「 難読化ツールを使用
組織では、少数の標的型攻撃を検出して対処するために導入
した 2 つのマルウェアの共通点」を参照)22。本章で見てきたと
した、ツールやプロセスの見直しを迫られています。自動ブロック
おり、昨今のマルウェアは、単に亜種が増えているだけでなく
機能を備えておらず、攻撃の阻止に手動での対応が必要となる
一段と洗練されています。その結果、一般的な組織が備える
検出専用のソリューションでは、ネットワークへの侵入を試みる
セキュリティ管理や監視、インシデント対応の能力では実現
膨大な未知のマルウェアに対処し続けることは極めて困難です。
できないレベルの、きめ細かでインテリジェントな検出および
分析体制が求められるようになっています。
そこで、規模や業種を問わずあらゆる組織で必要不可欠となる
のが、エミュレーションまたは進化した自動マルウェア・サンド
ボックスによるソリューションです。アンチウイルスやアンチ
ボット、侵入防御システム( IPS)ソリューションのシグネチャ
更新頻度がどれだけ早くても、未知のマルウェアを検出できない
期間は 2∼3日程度生じます。これは、攻撃者がネットワークに
侵入して攻撃の足場を固めるには十分な時間です。
19
2014 CHECK POINT ANNUAL SECURITY REPORT
02 THE EXPLOSION OF UNKNOWN MALWARE
マルウェアの開発ライフサイクル
作成
DIY キット/
マルウェア・ツールキット
DIY ツールキット、
パッカー/ クリプター、
結合ツール
Spy Eye
Zeus Builder
Citadel Builder
クリプター/パッカー
UPX GUI
PFE CX
Indectables.net
検証
マルウェアの
品質管理
検出
既知のマルウェア
結合ツール
マルウェアの品質管理
Multi AV Scan
NoVirus Thanks
未知
攻撃開始
File joiner
ExeBundle
ただし、既存のセキュリティ・インフラストラクチャの追加レイヤ
として動作するのではなく、インフラストラクチャとの統合が
•
自動化―分析や対策の実施を可能な限り自動化すると、
次々出現する未知のマルウェアへの対応が容易になるだけ
可 能なソリューションが 求められます。エミュレーション・
でなく、セキュリティやビジネス上のその他の課題にも対処
ソリューションを選定する際には、以下の機能を備えているか
しやすくなります。また防御の自動化に加え、
レポーティング
どうかを確認する必要があります。
やワークフローの統合が実現すると、問題の通知や対応を
•
•
効率化できます。
統合―複雑さやコストの増大を招くことなく、エミュレー
ション・ソリューションを導入および拡張するためには、
未知のマルウェアが急増した 2013 年は、必要なセキュリティ
既存のゲートウェイや電子メール・システム、
エンドポイント
対策が大きく変化しました。これらのマルウェアに対処するには、
とのシームレスな統合機能がカギになります。特に電子
セキュリティ担当者に多大な負担を強いることなく、ネットワーク
メール・システムとの統合は、システムがネットワーク内部
を効果的に保護できる新たな戦略と技術、そしてアプローチが
にあるかどうかを問わず非常に重要です。クライアントへの
欠かせません。これは、規模や業種を問わず、すべての組織が
攻撃は、電子メール経由で行われるケースが最も多いため
今すぐ最優先で取りかかるべき緊急の課題です。同時に、現在
です。
でも大きな被害に歯止めがかからない従来型の攻撃に対しても、
防御―大量に出現している未知のマルウェアに、検出専用の
引き続き警戒と予防的な対策が必要となります。次章では、
ソリューションで対 処することは容易ではありません。
既知のマルウェアの最新トレンドについて詳しく解説します。
エミュレーション・ソリューションでは、未知のマルウェア
を標的の手前で検出し、自動的にブロックできる必要が
あります。
自動マルウェア・サンドボックス技術の進化形である
エミュレーション・ソリューションの導入が、
規模や業種を問わずあらゆる組織で必要不可欠
となっている
20
2014 CHECK POINT ANNUAL SECURITY REPORT
03
既知のマルウェア
徹底されない対策
21
2014 CHECK POINT ANNUAL SECURITY REPORT
03 THE DEVIL YOU KNOW: MALWARE IN THE ENTERPRISE
22
2014 CHECK POINT ANNUAL SECURITY REPORT
03
既知のマルウェア:徹底されない対策
この数十年間、私たちは WMDS、
つまり大量破壊兵器に頭を悩ませてきた。
これからは新しい WMDS、
つまり大量妨害兵器に注目すべきだ。
2013 年は、情報セキュリティに関するさまざまな話題がメディア
を席巻しました。国家によるサイバー監視プログラムの発覚、
ワシントン・ポストや Yahooといったメディア企業に対するハッ
キング、Cryptolocker に代表される主要マルウェアの感染
拡大、小売企業が保有する顧客情報の大規模流出 ─ 。過去に
ジョン・マリオッティ26
報じられたセキュリティ・インシデントとは比較にならない深刻
な問題が多発しました。
このように書くと、まるで 2012 年が穏やかな 1 年だったように
聞こえますが、決してそうではありません。ハクティビズムの
台頭やメディア企業などを標的とした国家によるハッキング、
世界中の金融機関における情報漏洩など、2012 年は数と規模
の両 面でサイバー 攻 撃の歴 史に残る1 年だったと言えます。
「チェック・ポイント セキュリティ・レポート2013 年版」27 では、
マルウェアの主な傾向として以下の点が挙げられています。
•
APT の普及
•
ボットネットの増加
•
脆弱性の増加に伴う攻撃可能範囲の拡大
チェック・ポイントの調査では、左記の傾向が 2013 年も継続
していると同時に、マルウェアの侵入頻度やボット感染の規模
および深刻さなど、あらゆる面での状況悪化が判明しています。
高まるマルウェアのダウンロード頻度
2013 年の調査結果には、今日のセキュリティ管理者が直面して
いる課題が克明に捉えられています。その中で特に注目すべき
データを1 つ取り上げるとしたなら、調査対象組織におけるマル
ウェアのダウンロード頻度の高まりになるでしょう( 図表 3-1)。
2012 年のデ ータでは、調 査 対 象 組 織の約 半 数( 43%)は、
ユーザによるマルウェアのダウンロード頻度が 24 時間あたり
1 回未満、残り57% は 2∼24 時間に1 回でした。
84 %
不正なファイルのダウンロードが
発生している調査対象組織の割合
23
2014 CHECK POINT ANNUAL SECURITY REPORT
03 THE DEVIL YOU KNOW: MALWARE IN THE ENTERPRISE
一方、2013 年のデータでは、3 分の 2 近く(58%)の組織で、
マルウェアのダウンロード頻度が 2 時間に1 回以上となってい
調査対象組織の 58%では、
2 時間に 1 回以上の頻度で
マルウェアがダウンロードされている
ます。組織に対するサイバー攻撃の頻度が高まっている傾向は、
今回のセキュリティ調査のあらゆる項目からも見て取れます。
本章では、この傾向について詳しく解説すると共に、セキュリ
ティ担当者にもたらす影響について取り上げます。まずは、マル
ウェア作成者やハッカーが攻撃に悪用する脆弱性の状況につい
では、2013 年のデータは好ましい傾向を示していると言えるの
でしょうか? ある面においてはそのとおりです。一般に、脆弱性
て見ていきましょう。
対応では以下の 2 つの対策を実施します。
•
マルウェアのダウンロード頻度
ベンダーから提供される脆弱性の修正パッチを適用し、
問題を解消する。クライアント・システムの場合、現在では
(組織の割合)
ほとんどテストを実施せず自動でパッチを適用するケース
が多くなっていますが、サーバでは、パッチの副 作用の
58%
14%
有無を事前に検証するのが一般的です。
•
2時間以内
侵入防御システム( IPS)により、既知の脆弱性を悪用する
試みを検出し、必要に応じてブロックする。侵入防御シス
13%
テム( IPS)は、通常のパッチ適用サイクルの中で、パッチ
19%
が適用可能になるまでの暫定措置として利用される場合も
2∼6時間
ありますが、何らかの理由によりパッチを適用できない
12%
場合に、システムを保護する長期的な手段として使用される
12%
ケースもあります。
6∼12時間
11%
12%
12∼24時間
CVE に登録されている
脆弱性の数
7%
43%
24時間超
2013
2012
図表 3-1
2013
5191
2012
5297
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
2011
2010
脆弱性の減少は朗報か
情報セキュリティに関するリスク要因のうち、唯一 2013 年に
2009
2008
4155
4651
5736
5632
横ばい傾向を示したのは、報告される脆弱性の件数です。これ
を聞いて、少し安
された方がいらっしゃるかもしれません。
2012 年は、それまで減少傾向にあった脆弱性件数が増加に
転じ、Common Vulnerabilities and Exposures( CVE)
データベースで前年比 27% 増となる5,297 件もの脆弱性が
報告されています( 図表 3-2)。この結果、2012 年には、攻撃者
に悪用される脆弱性の数が増加し、セキュリティ管理者は、
モバイル・デバイスや消費者向けサービスの業務利用という
問題に加え、増加した脆弱性への対応に忙殺される事態になり
ました。
24
図表 3-2
出典:Common Vulnerabilities and Exposures( CVE)データベース
2014 CHECK POINT ANNUAL SECURITY REPORT
03 THE DEVIL YOU KNOW: MALWARE IN THE ENTERPRISE
60 秒
に1回
コンピュータによる不正WEBサイトへの
アクセス頻度
新たに報告される脆弱性の件数は、セキュリティ部門や IT 部門
しかし、事はそう単純ではありません。脆弱性の数は確かに減少
に対する負担の大きさと正の相関関係を示す傾向があります。
しているものの、合法 / 非合法の闇市場で売買される深刻な
その意味で、多忙なセキュリティ担当者にとって、2013 年は
脆弱性の数は増加傾向にあると、複数の専門家が指摘してい
それほど悪くない年だったと言えるかもしれません。CVE データ
ます。これは、単に表沙汰になった脆弱性が増加するよりも
ベースで、2013 年に報告された脆弱性は、5,191 件とわずか
懸念すべき状況です(「 金銭的利益になるゼロデイ脆弱性」を
2% ながら前年から減少しています。「 Critical」
( 緊急)に分類
参照)。
される脆弱性に限れば 9% の減少です。
金銭的利益になるゼロデイ脆弱性
最近では、脆弱性を発見した研究者らに謝礼を支払う
ハッカー)を対象とするマルウェアの闇市場です。過去に
ベンダー各社の報奨金プログラムも増えています。
しかし、
報告例が無ければ、Adobe Reader の脆弱性に5,000
28
ゼロデイ脆弱性の価値を高く評価する「 グレイハット」
ドル、Apple iOS に至っては最高 25 万ドルという高値
の政府機関( ハッカーと手を組んでサイバー軍事力の
が付けられています。ゼロデイ脆弱性を悪用する不正
強化を図る組織)や、専門のペネトレーション・テスト
コードも売買されているため、技術的なスキルがなくても、
機関に脆弱性情報を売り込む研究者は後を絶ちません。
誰でも高度なサイバー攻撃を実行できるという切迫した
ゼロデイ脆弱性がさらに高い経済的価値を示すのは、
状況です。
ブラックハット・ハッカー( 悪意をもって不正行為を行う
ターゲット・プラットフォーム
価 格
Adobe Reader
$5,000 - $30,000
Mac OS X
$20,000 - $50,000
Android
$30,000 - $60,000
Flashまたは Java のブラウザ・プラグイン
$40,000 - $100,000
Microsoft Word
$50,000 - $100,000
Microsoft Windows
$60,000 - $120,000
Firefox/Safari
$60,000 - $150,000
Chrome/Internet Explorer
$80,000 - $200,000
Apple iOS
$100,000 - $250,000
出典:Forbes
25
2014 CHECK POINT ANNUAL SECURITY REPORT
10 分
に1回
コンピュータによるマルウェアのダウンロード頻度
ベンダーが知らないうちに、マルウェア作成者の手に渡る脆弱
クライアント・アプリケーションの両方で広く使用されている
性情報が増えている事実はもちろん問題ですが、報告されている
Java 製品に関する脆弱性で、攻撃者にとっては格好のターゲット
脆 弱 性の分 布にも新たな課 題が見て取れます( 図 表 3-3)。 となっています。またMicrosoft が 4 位にランクダウンする一方
2013 年に最も多く脆弱性が報告されたのは、前年に引き続き
で、CiscoとIBM の製品における報告される脆弱性の増加傾向
Oracle 製 品です。その多くはサー バ・アプリケーションと
が目に付きます。この中には、侵入防御システム( IPS)で保護
および監視されているとは限らない、大規模サーバやネット
ワーク・インフラストラクチャ向けのコンポーネントが含まれて
います。
2013 年に見つかった脆弱性の数
Microsoft 製品のパッチに関しては、すでにほとんどの組織で
(ベンダー別)
適用プロセスが確立されています。しかし、Adobe Reader や
496
433
394
345
192
Google
192
Apple
Oracle
クライアント向けの Java に対するパッチ適用プロセスはそこ
まで成熟していません。そのギャップを狙っているのが、スピア・
Cisco
フィッシング( 標的型のフィッシング・メール)や「 水飲み場
型」攻撃といったブラウザ・ベースの攻撃です。水飲み場型攻
IBM
Microsoft
撃とは、アクセス数の多いWebサイトをハッキングしてマルウェ
アを仕掛け、そのWebサイトを閲覧したクライアントにマルウェ
アを感染させるという、最近増えている攻撃手法を指します。
パッチ適用なし、制限なし、
対策なしのエンドポイント
エンドポイント・セキュリティに関する2013 年の統計情報からは、
191
Redhat
190
Linux
課題になっている事実が見て取れます。特に顕著なのはクライ
アント・システムです( 図表 3-4)。Microsoft 製品に対する
定期的なパッチ適用は多くの組織に浸透しているものの、調査
175
160
最新のパッチが常に適用されているかの状況が依然として大きな
SUN
Mozilla
対象となったエンドポイントの 14% は、過去のパッチやアップ
デートを累積した最新の Windows サービス・パックを導入し
ていませんでした。さらに、企 業 エンドポイントの 33% は、
Adobe Reader や Adobe Flash Player、Java、Internet
図表 3-3
出典:Common Vulnerabilities and Exposures( CVE)データベース
Explorer などのクライアント・ソフトウェアを最新バージョンに
アップデートしておらず、多くの攻撃に対して脆弱な状態となっ
ています。
26
2014 CHECK POINT ANNUAL SECURITY REPORT
03 THE DEVIL YOU KNOW: MALWARE IN THE ENTERPRISE
すでにさまざまな課題に悩まされているセキュリティ担当者や
企業のエンドポイントに存在する
脆弱性と不適切な設定
(コンピュータの割合)
IT 担当者にとって、2013 年の調査結果は、以下に示すように
望ましいものではなく、むしろ攻撃者にとって好都合な結果と
なっています。
ローカルの管理者権限がユーザに付与されているコンピュータ
•
闇市場で売買される脆弱性情報は増加の一途を っている。
これらの脆弱性はベンダーに報告されず、パッチの提供も
38%
ない。
1つ以上のBluetoothデバイスが導入されているコンピュータ
53%
アンチウイルスのシグネチャが最新でないコンピュータ
•
セキュリティ対策が不十分なクライアントは数多く存在する。
•
定期的なパッチ適用の習慣が広まっていない、アプリケー
ションやプラットフォームに発見される脆弱性が増えている。
18%
ソフトウェアのバージョンが最新でないコンピュータ*
発生したセキュリティ・イベント
33%
(ソフトウェア・ベンダー別)
( 組織の割合)
最新のサービス・パックが導入されていないコンピュータ**
14%
デスクトップ・ファイアウォールが動作していないコンピュータ
23%
* 対象は Acrobat Reader、Flash Player、Java、Internet Explorer
67%
Microsoft
68%
** 対象の Microsoft Windowsプラットフォームは Windows XP、
Windows Server 2003、Windows Vista、Windows Server
2008、Windows Server 2008 R2、Windows 7
Adobe
15%
13%
図表 3-4
10%
VideoLAN
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
1%
4%
Squid
さらに厄 介なことに、調 査 対 象コンピュータの5 分の1 近く
2%
( 18%)は、アンチウイルス・ソリューションのシグネチャを最新の
状態に更新していません。この2つの問題がもたらす影響は甚大
です。脆弱なクライアント・システムへの侵入に成功した攻撃
3Com
4%
Oracle*
4%
者が、そのシステム上に長期的な足がかりを築き、ネットワーク
全体に攻撃の手を広げる可能性があるのです。また企業エンド
ポイントの実に 38% では、エンドユーザにローカルの管理者
15%
権限が付与されていました。このようなシステムで実行された
マルウェアは、制 限 のあるユ ー ザ 権 限 ではなく、システム
CA
3%
Novell
2%
( root)権限で動作することができます。
5%
2013
2012
図表 3-5
*Java、Oracle、Solaris の合計
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
27
2014 CHECK POINT ANNUAL SECURITY REPORT
03 THE DEVIL YOU KNOW: MALWARE IN THE ENTERPRISE
Windows 以外のプラットフォームにも向かう攻撃
攻撃も拡大しています。例えば、Squid(プロキシおよび Web
2013 年のデータからは、前述の傾向がもたらす攻撃の機会を、
キャッシング)、3Com( スイッチおよびルータ)、CA( 分析
攻撃者がどのように活用しているかが分かります( 図表 3-5)。
およびアイデンティティ)等の、ベンダーのシステムに対する
同年に最も多く攻撃を受けたプラットフォームは前年に引き続き
攻 撃件数は明らかに増えています。興味深いのは、各プラット
Microsoftで、調査対象組織の 67% が 1 件以上の攻撃を受け
フォームに対する攻撃件数をグラフで表してみると、作家の
ていました。ただしこの数字は、2012 年からわずかに減少して
クリス・アンダーソン 29 が 2006 年に提唱した「ロング・テール」
います。逆に増加していたのが、Adobe( Adobe Reader
の形を踏襲していることです( 図表 3-6)。このグラフは、
「 無限
および Flash Player)とVideoLAN( VLC media player)に
に広がるニッチ市場」を表しており、現代のサイバー攻撃が
対する攻撃です。これは、エンドユーザ向けアプリケーションに
経済原理、市場原理に基づくビジネス・モデルに従っている
対する攻撃の増加傾向を示すものですが、それと同時に、イン
ことを示しています。
フラストラクチャ向けのデバイスおよびプラットフォームに対する
ロング・テール
Mi
cro
%
0.2
so
ft
Ad 67%
Vid obe
eo 15
%
LA
N
10
Sq
%
uid
4
3C
om %
4
Or
ac %
le
4%
CA
No 3%
v
Au ell 2
rig
%
ma
LA
ND 2%
e
Ap sk 2
ac %
he
Ap 1%
p
Hy le 1
laf %
ax
1
HP %
0.4
Re
alN AO
%
etw L 0
.
ork 3%
s
Ya 0.2
ho
o0 %
.2
P
Bit HP 0 %
To
r re . 2 %
nt
WW 0.2
F %
発生したセキュリティ・イベント
・イ
イベント
ト(ソフトウェア・ベンダ
(ソフトウェア・ベンダー別)
図表 3-6
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
28
2014 CHECK POINT ANNUAL SECURITY REPORT
33 %
ソフトウェアのバージョンが
最新でないコンピュータの割合
金銭的価値があるのはサーバ
多く使用されていた攻撃手法
(組織の割合)
2013 年、ネットワーク・ベースの侵入防御システム( IPS)で
確認された攻撃の主な標的は、ほぼ 2 対 1の割合でクライアント
よりもサーバが優勢でした( 図表 3-7)。前述したように、セキュ
リティ上の問題を抱えているのはサーバよりもクライアントです。
ではなぜ攻撃者は、パッチが適用され、十分に保護されている
可能性の高いサーバを狙うのでしょうか?その理由は、なぜ銀
行を狙うのかと問われた有名な銀行強盗ウィリー・サットンの
答えと同じです。すなわち、
「そこに金があるから」30 です。組織
のアプリケーション・サーバは、内部ネットワークに接続されて
います。場合によっては、DMZ に置かれ、インターネットに接続
されているケースもあります。そのため、エンドユーザによる操作
を必要とせずにサービスやアプリケーションの脆弱性を悪用
でき、自動化した攻撃の標的として好都合です。ネットワークの
外部、または侵入先の内部クライアントからサーバのポートや
サービスをスキャンし、動作しているアプリケーションや OS の
バージョンが分かれば、そのバージョンに合わせた攻撃を仕掛
けることができます。このようにサーバは、リモートからの攻撃
が成功すれば遠隔操作の格好の対象になってしまうのです。
発生したセキュリティ・イベント(プラットフォーム別)
51%
コード実行
47%
メモリ破損
バッファ・オーバーフロー 36%
サービス妨害(DoS) 23%
開示情報の悪用 16%
整数オーバーフロー 12%
認証回避 9%
総当たり攻撃 2%
スタック・オーバーフロー 2%
権限昇格 1%
登録のスプーフィング 0.2%
2013 年の合計に占めるクライアントとサーバの割合
ア
ン
ト
図表 3-8
ク
ラ
イ
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
32%
サ
ー
バ
68%
図表 3-7
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
29
2014 CHECK POINT ANNUAL SECURITY REPORT
03 THE DEVIL YOU KNOW: MALWARE IN THE ENTERPRISE
2013 年の調査では、リモート・コード実行( RCE)31 による
無効にしているクライアントも同様です。例えば、今回調査対象
攻撃が非常に多く確認されました( 図表 3-8)。発生件数別の
となった企業エンドポイントの4 分の1 近く
(23%)
はデスクトップ・
トップ 3は、コード実行、メモリ破損、バッファ・オーバーフロー
ファイアウォー ルを 無 効 にしており、半 数 以 上( 53%)は
という並びになっています。サービス妨害( DoS)攻撃は、
サーバ
Bluetoothを有効にしていました。周辺機器の接続に便利な
に対する別の攻撃の偽装工作として使用される場合もあります。
Bluetoothですが、公共の空間で無線経由の攻撃を受ける可能
派手な DoS 攻撃に目を向けさせている間に、より目立たない
性があります。
攻撃を実行し、標的のサーバに侵入するという筋書きです。
クライアント・システムには、
この他にも多くの攻撃経路が存在し、
パッチ適用なし、制限なし、対策なしのクライアント
狙われているのはサーバだけではありません。特に、内部ネット
ワークや無防備な公共ネットワークでの感染拡大を目的とする
ネットワーク・ベースの攻撃では、クライアントが標的となり
電子メールや Web を利用するユーザの行動が悪用されます。
2013 年の調査結果からは、これらの攻撃手法に関してもマル
ウェアの活動が活発化し、マス・カスタマイゼーションが進行
している状況がうかがえます。
ます。パッチやサービス・パックを適用しておらず攻撃されや
すいサービス( RPC 32 など)が古いままになっているクライア
ントは、攻撃者の意のままになりかねません。重要な保護機能を
「本日のジョーク」メールにだまされるエンドユーザ:
セキュリティ対策の最大の弱点は現在もエンドユーザ
依然として主要なマルウェア拡散手段として悪用されて
何も疑わないエンドユーザが同僚や知人に転送しても
いるのが電子メールです。ここで紹介するある事件からも、
何ら不思議ではありません。案の定、先述のメールの
エンドユーザは単純な攻撃に対していまだに不用心で
受信者は、フランス国内の大手企業 3 社以上に転送して
あり、多くの組織へのマルウェア拡散に加担している事実
しまいました。
が見て取れます。
幸い、この Excelファイルには不正なペイロードが含ま
2013 年 10月、フランスの大手製造業に勤務する1 人の
れておらず、ファイルを開いたコンピュータに危害は及び
社員が、
「 Blagounette du jour( 本日のジョーク)」と
ませんでした。しかしこの一連の流れは、標的型攻撃の
いう件名の電子メールを受け取ります。33 この電子メール
手口とまったく同じです。ファイルを開いたユーザは自身
には、サイズが 6MBのMicrosoft Excelファイルが添付
のコンピュータと組織を深刻なリスクにさらし、挙げ句に
されていました。
同僚や他社の知人に転送してリスクを拡大させました。
場合によっては、チェーンメールのように次々と転送が
仮 想サンドボックスで自動 分 析したところ、この添 付
繰り返される事態も考えられます。「 本日のジョーク」が
ファイル内の画像がコンピュータのファイル・システムに
本当のマルウェアだったとしたら、決してジョークでは
コピーされ、壁紙に関するレジストリ・キーの設定がこの
済まないところです。
画像に変更される仕掛けが組み込まれていました。この
種の画像はユーモラスな体裁を装っている場合が多く、
30
2014 CHECK POINT ANNUAL SECURITY REPORT
03 THE DEVIL YOU KNOW: MALWARE IN THE ENTERPRISE
1∼2 人程度のユーザを標的とするスピア・フィッシング攻撃
不正 Web サイトに
アクセスしていたコンピュータの数
では、成功率が大きく異なります。実際、不正 Web サイトに
(組織の割合)
アクセスしているコンピュータの数は、2012 年から 20% も
以
台
台
1
9
∼
これは、マルウェアをダウンロードしているコンピュータ数が
7
1
6
台
8
∼
5
1
3
∼
∼
2
4
台
台
上
増加しています。
2013 年に急増している理由でもあります。2013 年の調査では、
マルウェアをダウンロードしているコンピュータ数が 1∼4 台
36%
20%
18%
12% 15%
同じ、または減少していますが、1∼4 台に限っては 69%も増加
2013
31%
18%
20%
だった組織は全体の 76%でした。5 台以上の割合は 2012 年と
16%
15%
しています( 図表 3-10)。
一部のコンピュータによる不正 Web サイトへのアクセスとマル
2012
図表 3-9
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
ウェアのダウンロードが 多くの組 織で行われるようになり、
2013 年のマルウェアの活動は全体として活発化しています。
平均 1 分 1 回の頻度で不正 Web サイトへのアクセスが行われ、
10 分に1 回マルウェアがダウンロードされています。
2013 年 の 調 査 では、不 正 Web サイトにアクセスするコン
ピュータ数が増加の一途を っていました。平均して60 秒に
1 回の頻度でコンピュータが不正 Webサイトにアクセスしてい
ます。コンピュータ数の分布は図表 3-9 が示すように、2012 年
からそれほど変わっていませんが、一見朗報に見えるこのデータ
の陰には大きな問題が潜んでいます。「 1∼2 台」の割合が増え
ている点 に注 目してください。この 変 化 は、組 織 内 の 少 数
のユーザのみを標的とし、ソーシャル・メディアの情報を使用
調査対象組織の 49% では、
7 台以上のコンピュータが
ボットに感染している
して開封率の高い電子メールを送り付けるスピア・フィッシング
攻撃が増えている状況を示しているのです。比較的容易に不正
が見破られる組織全体を対象とした単純なフィッシング攻撃と、
73 %
ボット感染が 1 件以上見つかった組織の割合
(2012 年は 63%)
31
2014 CHECK POINT ANNUAL SECURITY REPORT
効果的なCRYPTOLOCKER対策
2013 年 9月初旬に初めて確認されたCryptolockerは、
一方、Cryptolocker のエージェントは、ファイルの暗号
データなどを「 人質」にして金銭を要求する「ランサム
化が始まる前に、必ず C&C サーバとの通信を確立する
ウェア」
に分類されるマルウェアです。
多くのランサムウェア
必要があります。つまり、最初の通信を検出してブロック
と同様、Cryptolockerは標的のコンピュータに侵入して
すれば、Cryptolocker の活動を確実に妨害できること
バックグラウンドで活動を開始し、エンドユーザが気付か
になります。
ぬうちにさまざまなデータ・ファイルを暗号化します。
これは、事後対応的な対策と見られがちなボット検出が、
暗号化の完了後、
ファイルを
「人質」
にとったCryptolocker
高度なマルウェア対策においては予防的な役割を果たす
は、元に戻したければ「 身代金」を支払うよう要求する
という好 例 です。実 際、Cryptolocker が 大 流 行した
メッセージを表示します。このメッセージには、指定の
2013 年後半、インテリジェントなアンチボット・ソリュー
期間内( 通常は 4日未満)に要求に応じなければ、復号
ションを導入している組織は、感染クライアントの検出と
化に必要な秘密伴はサーバから削除され、データは完全
共に最初の C&C 通信をブロックする対応をとり、ネット
に失われるとも書かれています。
ワークの被害を最小限に抑えることに成功しています。
現在のところ、この秘密伴を手に入れる以外、暗号化さ
れたファイルを元に戻す方法は見つかっていません。
マルウェアをダウンロードしていた
コンピュータの数
17
8台
∼
32
台
(組織の割合)
5∼
3%
12%
コンピュータは平均 1 分に 1 回の頻度で
不正 Web サイトにアクセス、
マルウェアを 10 分に 1 回
ダウンロードしている
76%
1
33 6台
台
以
上
9∼
1∼
4台
5% 4%
図表 3-10
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
32
2014 CHECK POINT ANNUAL SECURITY REPORT
03 THE DEVIL YOU KNOW: MALWARE IN THE ENTERPRISE
感染を拡大するボット
マルウェアによるネットワーク侵入の急増傾向から予想される
ボットに感染していたコンピュータの数
(組織の割合)
とおり、2013 年はボット感染の件数が増加し、その活動が活発
化しています。ネットワークへの侵入に見られる傾向が「 少数
精鋭化」
( 標的型化)であるとすれば、ボットに関する傾向は逆に
1∼3台
「 大 量 / 高 頻 度 化」と見ることができるでしょう。2013 年の
48%
データでは、ボット感染のコンピュータが 22 台以上の組織が
400% 増加、感染したコンピュータの台数が少ない組織は減少
38%
4∼6台
傾向を示しています( 図表 3-11)。
14%
18%
ただし、依然として3 分の 1 以上( 38%)の組織で 1∼3 台の
7∼9台
ボット感染が発生しており、感染件数全体としては減少して
8%
10%
いると見なせません。
18%
10∼21台
また 2013 年後半に発生した Cryptolocker の大流行に見ら
18%
れるように、新しいタイプのランサムウェアの登場により、攻撃者
がボット感染から得る見返りは以前よりも格段に大きくなって
います(「 効果的な Cryptolocker 対策」を参照)。
22∼35台
7%
0%
ネットワークにおけるボットの感染件数が増加すると同時に、
ボットの活動も活発化しています。2013 年の調査では、ボット
36台以上
16%
とC&C サーバ間の通信頻度が急増しており、1 時間に1 回以
上試みられている組織の割合は 47% に上りました。前年比で、
2013
実に88%も増加しています( 図表 3-12)。調査サンプル全体の
2012
平均値では、3 分に1 回の頻度に上ります。その通信のたびに、
ボットは C&C サーバから命令を受け取り、組織内で収集した
6%
図表 3-11
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
機密データを外部に送信しているのです。通信頻度が上昇すれ
ばするほど、深刻な影響が組織のデータやシステムのセキュリ
ティに及ぶことは言うまでもありません。
33
2014 CHECK POINT ANNUAL SECURITY REPORT
77 %
77%
4週間以上
4週間未満
23%
4週間以上にわたって
活動を続けるボットの割合
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
図表 3-13
ボットが C&C サーバと
通信する頻度
重要性と共に難しさを増すボット対策
(組織の割合)
ボットによる通信頻度の増加は、ネットワーク内で発生して
いるボット感染を検出し、通信を遮断するチャンスもセキュリ
ティ担当者に提供します。しかも、
( OSの再インストールを含む)
47%
25%
1時間以内
感染したボットをシステムから完全に駆逐する作業に比べれば、
通信の検出自体はそれほど難しくありません。ただし、従来型の
フィルタリング・ソリューションやブロック・ソリューションを
回 避するために、DGA ベースのボットネットが 複 雑な C&C
40%
1∼2時間
45%
チャネルを使用するように進化した現在、ボットによる通信の
遮断がボット対策の中では最も難しい作業になりつつあります
(「 進化するフィッシング攻撃の手口」を参照)34。
3%
2∼4時間
6%
10%
ボットは、3 分に 1 回の頻度で
C&C サーバとの通信を試みている
4時間超
24%
2013
2012
図表 3-12
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
34
2014 CHECK POINT ANNUAL SECURITY REPORT
進化するフィッシング攻撃の手口
チェック・ポイントのセキュリティおよびマルウェア・
レベル・ドメイン( TLD)37 の .com は、依然として最も
リサーチ・グループが、2013 年に発生したフィッシング
多くフィッシング攻撃で利用されるTLDとなっているものの
攻撃を分析したところ、ますます高度化を遂げている最近
( TLD 全体の 44%。同年第 1 四半期の 42% から微増)、
の攻撃手法の実態が判明しました。動的な URLスキーム
実際のドメイン登録数が少ない一部の国別 TLD がフィッ
を利用するなど、従来のフィッシング対策の要である静的
シングで広く使用されるようになっている」。例えば、登録
なブラックリストを回避するケースが目立っています。
済みドメイン全体に占める割合が 1% 未満に留まるブラ
Nuclearというエクスプロイト・キットを使用したフィッ
ジルの国別 TLD「 .br」が、フィッシング・メールで使用
シング攻撃では、マルウェア研究者による分析を妨害する
されるTLD 全体の4%を占めているのです。フィッシング
目的でもこのスキームが利用されていました。
攻撃の実行者やマルウェア作成者は、一意のドメイン名
や URL を大量に生成するために、各国の TLD を使用し
また Cryptolocker の分析では、同じ傾向の別の側面が
ています。一方、フィッシング対策に効果的とされる従
明らかとなっています。Cryptolocker は、ボットとC&C
来のセキュリティ・ソリューションは、このような攻撃に
サーバ間の通信を確立するために、ドメイン生成アルゴ
対して有効に機能していません。
フィッシング攻撃における
リズム( DGA)35 でランダムに生成したと思われる動的な
ドメイン名の役割について詳説した A P W G のレポ ート
ドメイン名を使用しています。ボットが生成するドメインは
「 Global Phishing Survey 1H2013: Trends and
1日あたり1,000 件に上り、24 時間後にはドメインを登録
Domain Name Use」
(グローバル・フィッシング調査
したボット管理者はドメインを破棄してしまいます。その
2013 年上半期版: 傾向とドメイン名の使用状況)38 は、
ため、1 日で入れ替わる多数のドメインを検出し、不正な
ドメイン名のレジストラは居眠りしながら業務を行ってい
URL およびドメインのブラックリストに登録することは
るか、積極的にフィッシング攻撃に荷担していると批判
非常に困難になっています。
しています。
上記のマルウェア攻撃の分析結果から、フィッシング攻撃
この問題が改善される兆しはありません。2013 年、イン
では、動的な URLとドメイン名が重要な役割を果たすよ
ターネット関連資源の管理団体 Internet Corporation
うになっていることがわかります。特に、従来のフィッ
for Assigned Names and Numbers( ICANN)39 は、
シング攻撃やボットを検出、ブロックする静的なブラック
TLD を現行の 22 種類から1,400 種類に増やす計画を
リストを回避する目的では、大きな効果を発揮しています。
発表しました。中には、アラビア文字や漢字、キリル文字
DGA は、インターネットの基盤技術そのものを利用して、
など非ラテン文字によるTLDも含まれています。
APWG
匿名的な使い捨てのドメイン名を生成します。セキュリ
は、数年間の実績を積んだ非ラテン文字のTLD が、フィッ
ティ・ベンダーのグローバル・ネットワークで検出され、
シング攻撃で大規模に悪用されている形跡はないとして
不正であると確認されたアドレスとの間のトラフィックを
いますが、ラテン文字による不正な URLやドメイン名の
ブロックする従来のシステムは、このようなドメイン名に
遮断技術が精度を増す中、攻撃者たちが新しい TLD を
対処できません。
悪用しないと考える理由は 1 つもありません。非ラテン
また分析結果からはマルウェア作成コミュニティにおける、
より大きな流れが見て取れます。既存のセキュリティ対策
を回避して標的を攻撃するために、DNSと従来の URL
ブラックリスト技術の弱点が狙われるようになっているの
です。
フィッシング対策の業界団体であるAnti-Phishing
Working Group(APWG)36 は、2013 年第2 四半期の
文字のTLDは、既知の不正なURLや不審なURLのリスト
に基づくブラックリストや、URLフィルタリング技術に対
する大きな試練となるでしょう。そして、フィッシング・
メールで使用される使い捨ての URL や、DGA ベースの
ボットネットで利用可能なドメイン名が無限に生み出さ
れる結果に繋がると私たちは危惧しています。
調査レポートで、以下のように指摘しています。「トップ
35
2014 CHECK POINT ANNUAL SECURITY REPORT
03 THE DEVIL YOU KNOW: MALWARE IN THE ENTERPRISE
推奨事項
•
ゲートウェイおよびエンドポイントでのマルウェア対策
2013 年のセキュリティ分析結果では、あらゆる領域で活発化
( URLフィルタリングを含む)―マルウェアの検出および
しているマルウェア活動の動向が判明しています。活発化が
ブロック、マルウェアの配布元 Web サイトへのアクセス
目立つのは以下の 3 点です。
遮断。
•
侵入活動の増加。不正 Web サイトや電子メール、ダウン
•
DGA ベースのボット通信をインテリジェントに検出、遮断。
ロード経由で、
マルウェアに接触するユーザが増えています。
•
•
感 染 後の不 正 活 動の増 加( 大 規 模なボット感 染に伴う
ゲートウェイでのボット対策―マルウェアの検出に加え、
•
高機能な IPS―トラフィックの監視に加えて、危険性の高い
C&C 通信の増加)。
攻撃をブロックできるIPS。Windows にとどまらない各種
攻撃の標的となるプラットフォームの多様化。サーバや
プラットフォーム、ネットワーク、その他ベンダーが提供する
サーバおよび IT インフラストラクチャ・システムへの対応。
Windowsクライアントだけでなく、ネットワークおよび
サーバ・インフラストラクチャや、管理の手が及ばないアプ
•
システム および アプリケ ー ションの 包 括 的 な 管 理 ―
Windowsクライアントおよびサーバは及ばず、Java や
リケーションの脆弱性を狙った攻撃が増えています。
Adobe Reader などあらゆるシステムおよびアプリケー
昨年度のセキュリティ・レポートで取り上げたように、ビジネス
担当やセキュリティ担当の責任者は分が悪い戦いを強いられて
ションに対応した脆弱性管理とパッチ適用のプロセス確立。
•
クライアントおよびサーバ設定のベスト・プラクティス―
いますが、2013 年のサイバー攻撃活動の活発化はさらなる課題
一般ユーザに管理者権限を付与しない、Java や各種スク
を突きつける結果となりました。攻撃や感染、外部へのデータ
リプトの無効化、エンドユーザによるアプリケーションの
送信の増加など、エスカレートするマルウェアの活動に対処する
インストールに制限を設ける、などの指針を含む。
には、複数の防御レイヤの導入や連携の自動化が唯一の方法と
なります。基本となる防御レイヤとその要件は以下のとおりです。
次章では、アプリケーションの使用やアプリケーションが業務
データやエンドユーザにもたらすリスクに関する調査結果を
見ていきます。
36
2014 CHECK POINT ANNUAL SECURITY REPORT
04
リスクの高い
アプリケーション:
広がる組織内での利用
37
2014 CHECK POINT ANNUAL SECURITY REPORT
38
2014 CHECK POINT ANNUAL SECURITY REPORT
04
リスクの高いアプリケーション:
広がる組織内での利用
サイバー攻撃を招くさまざまな外部要因と複合的に関連して
られます。日常業務の遂行や生産性の向上に欠かせないアプリ
オンラインの世界では、
世界じゅうが地域経済じゃないか。
ケーションですが、組織のセキュリティを弱体化するデメリットも
ニール・スティーヴンスン『クリプトノミコン』
いる課題として、内部におけるアプリケーションの制御が上げ
( 原題: Cryptonomicon)40
抱えています。セキュリティの観点から見るとアプリケーション
は、ジョージ・オーウェルの小説『 動物農場』41 に登場する動物
たちを想起させる特徴を備えています。同書の言葉を借りるなら、
「 すべてのアプリケーションは平等である。しかし、あるアプリ
ケーションはもっと平等である」のです。
LinkedIn、Twitter、WebEx、YouTubeといった Web 2.0
リスクの高いアプリケーションは、セキュリティに悪影響をもた
ベースのソーシャル・メディア・アプリケーションとは異なり
らす典型的な存在です。匿名での Webアクセス、クラウド型の
ます。多くの場合リスクの高いアプリケーションは、組織内で
ストレージやファイル共有、デスクトップ・アプリケーションや
正式に承認された、アプリケーションやソリューションに隠れて
データへのリモート・アクセス、ユーザやコンピュータ間での
動作し、エンドユーザ向けのアプリケーションやデバイス、サー
メディア共有を可能にするアプリケーションがその代表例で、
ビスを IT 部門の許可なく業務利用する「 シャドーIT」の一部
Microsoft Officeなどの業務アプリケーションや、Facebook、 として使われています。
86 %
高リスクのアプリケーション * が
1つ以上使用されていた組織の割合
*P2Pファイル共有、アノニマイザー、ファイル・ストレージ /ファイル共有
39
2014 CHECK POINT ANNUAL SECURITY REPORT
04 APP(ETITE) FOR DESTRUCTION: HIGH-RISK APPLICATIONS IN THE ENTERPRISE
高リスクアプリケーションの
ランキング
(地域別)
EMEA*
アノニマイザー
Tor、Hide My Ass、OpenVPN
P2Pファイル共有
BitTorrentプロトコル、
SoulSeek、EDonkeyプロトコル
ファイル・ストレージ /ファイル共有
Dropbox、Windows Live Office、
Hightail(旧 YouSendIt)
リモート管理
RDP、TeamViewer、LogMeIn
アノニマイザー
Tor、Ultrasurf、Hotspot Shield
APAC*
P2Pファイル共有
BitTorrentプロトコル、
SoulSeek、BoxCloud
アノニマイザー
Ultrasurf、Tor、Hide My Ass
ファイル・ストレージ /ファイル共有
Dropbox、Windows Live Office、
Hightail(旧 YouSendIt)
P2Pファイル共有
BitTorrentプロトコル、
Xunlei、SoulSeek
リモート管理
RDP、LogMeIn、TeamViewer
ファイル・ストレージ /ファイル共有
Dropbox、Windows Live Office、
Hightail(旧 YouSendIt)
北中南米
リモート管理
TeamViewer、RDP、LogMeIn
図表 4-1
* APAC - アジア太平洋地域と日本
* EMEA - ヨーロッパ、中東、アフリカ地域
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
40
2014 CHECK POINT ANNUAL SECURITY REPORT
04 APP(ETITE) FOR DESTRUCTION: HIGH-RISK APPLICATIONS IN THE ENTERPRISE
高リスクのアプリケーションの使用状況
(組織の割合)
90%
リモート管理
81%
86%
ファイル・ストレージ/
ファイル共有
80%
75%
P2Pファイル共有
61%
56%
アノニマイザー
43%
2013
2012
図表 4-2
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
2012 年の調査では、Web 2.0アプリケーションは多くの組織で
匿名性に潜むリスク
使用されており、ネットワークへの侵入や情報漏洩をもたらす
アノニマイザー・アプリケーションは主に、匿名性を維持した
大きなリスク要因となっていました。その後、問題が広く周知さ
ままインターネットにアクセスし、Web サイトを閲覧する目的で
れたにもかかわらず、2013 年の調査では高リスクのアプリケー
使用されます。複数の HTTPプロキシ・サーバへの暗号化トン
ションの 使 用がすべてのカテゴリで 増 加しています( 図 表
ネルを構築するアノニマイザーは、
ファイアウォールやコンテンツ・
4-2)。本章では、その使用状況をカテゴリごとに分析し、リスク
フィルタリング技術の
を軽減するための推奨事項を示します。
ニマイザーは、経路の特定を困難にする追加の技術を採用する
回を可能にします。Tor などの一部アノ
ほか、専用ソフトウェアやブラウザ・プラグインを使用して経路を
隠
し、雇用主や政府機関などによる監視を回避しています。
2013 年の調査によると、組織におけるアノニマイザーの使用は
組織におけるアノニマイザーの
使用は全体的に増加傾向にある。
アノニマイザーの使用が
1 件以上確認された組織の割合は、
調査対象の半数以上(56%)に上る
全体的に増加傾向にあり、アノニマイザーの使用が 1 件以上
確認された組織の割合は、調査対象の半数以上となる56% に
上っています。前年比では 13% 増加しています。
41
2014 CHECK POINT ANNUAL SECURITY REPORT
ディープ WEB への入口となるアノニマイザー
Tor(The Onion Router)42 は、2 年連続で最も広く
いるためです。
高い匿名性やさまざまな闇市場へのアクセス
使用されているアノニマイザー・アプリケーションとなり
手段をもたらすディープ Web は、マルウェアや詐欺的
ました。匿 名で Webアクセスを行い、組 織のセキュリ
行為がはびこる空間でもあります。組織のセキュリティ
ティ・ポリシーを容易に
回できる手段としてすでによく
担当者には、監 視の目から逃れようとして組 織のコン
知られていた Tor は 2013 年、一般的な検索エンジンで
ピュータやネットワークを危険にさらすユーザを懸念し
は検索できない「ディープ Web」
(深層 Web)への入口
ます。つい先日も、
トロイの木馬「Chewbacca45」による
として、一層名を馳せることとなりました(オープンで検索
クレジット・カード情報の窃取事件がありましたが、多数
可 能 な Web は「サーフェイスWeb/ 表 層 Web」と呼
の小売業者から盗まれたデータは Tor 経由で中継点の
43
ぶ) 。ディープ Web は 2013 年、米 国 内 外における
サーバに送られていました。
監視活動やプライバシー侵害に対する懸念の高まりと、
闇市場サイト「Silk Road」の管理者の逮捕 44 をきっかけ
言論の自由や匿名性は個人にとって重要な権利であり、
に一躍注目を集めました。
侵害は許されません。しかし今後は、組織内ではびこる
Tor などのアノニマイザーを洗い出しその通信を遮断する
他のアノニマイザー・アプリケーションも管理者にとって
取り組みが、最優先課題の 1つとしてセキュリティ担当者
厄介な存在ですが、Tor が特に問題視されているのは、
に強く求められるようになるでしょう。
onionドメイン(匿名で各種サーバを運用できるドメイン)
をはじめとするディープ Web への入口という役割を担って
ただし、すべてのアノニマイザー・アプリケーションの使用が
多く使用されていた
アノニマイザー・アプリケーション
一様に増えているわけではありません。Tor が確認された組織の
(組織の割合)
割 合 は、2012 年 の23%から15%に 減 少しています(図 表
4-3)
。その主な理由は、認知度が上昇した Tor が組織のセキュ
15%
リティ・ポリシーで適切に制限されるようになったためと考え
Tor
23%
14%
Ultrasurf
8%
参照)。また、組織のシステムやネットワークから匿名でWebに
アクセスしようとする内部ユーザの減少や、Torより無名でセキュ
リティ・ポリシーで制限されていない別のアノニマイザーに乗り
換えたユーザの存在も理由に挙げられるかもしれません。
12%
Hide My Ass
7%
10%
OpenVPN
3%
10%
Coralcdn
2013
図表 4-3
2012
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
42
られます(「ディープ Web への入口となるアノニマイザー」を
2014 CHECK POINT ANNUAL SECURITY REPORT
04 APP(ETITE) FOR DESTRUCTION: HIGH-RISK APPLICATIONS IN THE ENTERPRISE
言論の自由やプライバシーの保護を主張する人々から支持を
多く使用されていたリモート管理ツール
集めているアノニマイザーは、政情不安定な国の反体制派の
(組織の割合)
情報や活動─ときには生命─を保護するために利用されてきま
した。国家政府による監視活動が表沙汰になった2013 年は、
サイバー・スパイ対策としてアノニマイザーを導入するユーザが
ヨーロッパやアジア地域で増加しています。該当地域の増加
RDP
ペースに差がみられるのは、それぞれの事情が影響しているため
71%
71%
と考えられます。また北中南米でアノニマイザーの使用がそれほ
TeamViewer
ど増えていない訳は、セキュリティ担当者の対応が一定の成果を
50%
LogMeIn
上げた結果と見ることができます(図表 4-4)。
VNC
ただし、Tor の使用が減少する一方で、ギリシャ神話に登場する
21%
46
怪物「ヒドラ」 の首のごとく、新たに6 種類のアノニマイザーが
GoToAssist-RemoteSupport
登場しています。Tor を除く上位 10 種類のアノニマイザー・
アプリケーションの使用は、2012 年と比較して例外なく増加
8%
7%
Ammyy Admin
しています。
図表 4-5
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
アノニマイザー・アプリケーションの
利用率(地域別)
(組織の割合)
リモート管理ツールが
最も多く使用されている業種
54%
49%
2013 年の調査で最も多く使用されていた高リスクのアプリ
北中南米
ケ ーションは、リモ ート管 理ツー ルのカテゴリです。特 に
Microsoft のリモート・デスクトップ・プロトコル(RDP)47 が
58%
40%
EMEA
図表 4-4
されており、
2012 年の調査から急増しているのが TeamViewer
です(図表 4-5)。基本的に正規のツールで、IT 担当者やヘルプ
54%
35%
有名ですが、他にも多くのリモート管理ツールが世界中で使用
APAC
デスク担当者などが社員の PC を遠隔地からサポートおよび
管理する役割を担っています(「正当な目的にも不正な目的にも
使用できるリモート管理ツール」を参照)。
2013
多くの組織では 1 つに標準化せずに、プラットフォームや接続
2012
条件、作業内容などの技術的な要件に応じて、場当たり的に
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
複数のツールを導入しています。2013 年の調査で、リモート
管理ツールが最も多く使用されていた業種は産業分野でした
(高リスクのアプリケーションの使用件数で産業分野が第 1 位
になったのはこのカテゴリのみ)。産 業 分 野でリモート管 理
ツールの使用が 1 件以上確認された組織は実に90% に上って
います。
43
2014 CHECK POINT ANNUAL SECURITY REPORT
良くも悪くも多用されるリモート管理ツール
どちらも「RAT」という略称が一般的な、リモート管理
リモート管 理ツールの代 表 的な存 在です。2013 年の
ツール(Remote Administration Tool)とリモート・
データでは、調査対象組織におけるTeamViewerの使用
アクセス・ツール(Remote Access Tool)は、互いに
が 急 増していました。主な要 因は、ポピュラーだった
混同される場合がよくあります。セキュリティおよび運用
LogMeIn の 無 償 版 が 提 供 終了となった 後 を受 けて、
上の重大なリスクを抱えるリモート管理ツールですが、
TeamViewer にさまざまな機能強化が行われたためと
48
Chewbacca や Poison Ivy 、DarkComet、そ し て
考えられます。例えば、非 Windowsプラットフォームの
悪名高い Back Orifice49 といったリモート・アクセス・
サポート拡充、ミーティングおよびコラボレーション機能
ツールと同一視することはできません。事実上のトロイの
の追加、多様な接続環境での高いパフォーマンス(RDP
木馬であるリモート・アクセス・ツールが、組織のネット
では必須のファイアウォール設定の変更が不要)などが
ワークで正当な目的に使用されるケースはありません。
挙げられます。
リモート・アクセス・ツールは紛れもなくセキュリティ脅威
であり、検出された場合には、直ちに駆除および復旧を
より便利になったリモート管理ツールですが、代償も少な
行い、情報漏洩が発生していないかどうかフォレンジック
くありません。IT 担当者にとって有用な機能は、スマート
調査を実施する必要があります。
フォンやタブレット、
自宅のPCから社内のPCにリモート・
アクセスしたいと考えるエンドユーザから見ても魅力的な
一方、主要なリモート管理ツールは、組織の IT 担当者や
機能であるからです。エンドユーザがリモート管理ツール
ヘルプデスク担当者の間で広く使用されており、多様な
を社内で使うようになれば、ネットワークに抜け穴が作
エンドユーザ・デバイスやプラットフォームのトラブル
られ、組織のセキュリティが危険にさらされます。エンド
シューティングや、アプリケーションやデータにアクセス
ユーザに悪意がないとしても、
このような目的で使用された
する目的で活用されています。TeamViewer は、こうした
RATは、組織に害をもたらす「ネズミ」になりかねません。
多く使用されていた
P2Pファイル共有アプリケーション
(組織の割合)
業務使用に不適切な P2Pファイル共有
ピアツーピア(P2P)ファイル共有アプリケーションは、ユーザ
間でファイルを共有する目的で使用されています。著作権で保護
されたコンテンツや正規ソフトウェア、海賊版ソフトウェア、その
BitTorrent プロトコル
63%
他メディアの配布に多用される一方、攻撃者にとっては共有
ファイルに埋め込むなどの形でマルウェアを拡散させる格好の
25%
14%
13%
10%
SoulSeek
ツールとなっています。P2Pアプリケーションは、無 防 備な
ユーザのマルウェア感染を引き起こすだけでなく、組織のネット
EDonkey プロトコル
ワークへのバックドアとしても機能するのです。バックドアとして
悪用されれば、易々と進入した攻撃者に機密情報が窃取され
Xunlei
BoxCloud
かねません。
また、組織内でBitTorrentなどのP2Pアプリケーションが多用
され、音楽ファイルや動画ファイルの著作権を無視した配布が
図表 4-6
行われている場合、全米レコード協会(RIAA)などの著作権
団体から法的責任を問われる可能性もあります。RIAA は近年、
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
44
インターネット・サービス・プロバイダ(ISP)と協力して、
2014 CHECK POINT ANNUAL SECURITY REPORT
04 APP(ETITE) FOR DESTRUCTION: HIGH-RISK APPLICATIONS IN THE ENTERPRISE
多く使用されていたファイル・ストレージ/
ファイル共有アプリケーション
(組織の割合)
ファイル・ストレージがもたらす
「必要以上の共有」
Web 2.0アプリケーションは、コンテンツの作成とデバイスや
Dropbox
85%
69%
48%
クラウドに複製し、登録された他のすべてのデバイスに同期する
Windows Live Office
51%
26%
処理を自動的に行う場合は、ファイル・ストレージ/ファイル
共有アプリケーションが重要な役割を担います。別のユーザと
コンテンツを共有する場合にも、
リンクを送るだけで、そのユーザ
がコンテンツにアクセスし、編集できるようになります。
Hightail(旧YouSendIt)
しかし、コンテンツ共有のハードルがあまりに低いため、
「必要
22%
16%
ユーザ間での共有が容易に行えるという最大の特徴を備えてい
ます。例えば、あるデバイスのフォルダに保存したコンテンツを
以上の共有」に至るリスクも否定できません。例えば、意図的で
あるかどうかを問わず、業務上の機密データが別の社内コン
Sugarsync
ピュータや保護されていないデバイス、さらには他のユーザと
13%
の共有フォルダに同期されるおそれがあります。
15%
ImageVenue
ファイル・ストレージ/ファイル共有アプリケーションは、
2012 年
9%
から2 年連続でDropbox が最も多く使用されています。また、
14%
Dropbox が使用されている組織の割合は、2012 年の 69%
Mendeley
4%
図表 4-7
から85% に増加しています(図表 4-7)。この傾向は、使用が
2013
軒並み減少している他のファイル・ストレージ/ファイル共有
2012
アプリケーションと対照的です。背景には、アプリケーションを
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
正式に導入した多くの組織が Dropbox に一本化したことが
挙げられますが、
「シャドーIT」50 を実践するエンドユーザの間の
Dropbox 人気の高さも一因であると考えられます。
海賊版や無認可のコンテンツを違法配布しているユーザを突き
ソーシャル・メディアを悪用する攻撃者
止め、積極的に提訴しています(図表 4-6)。最も多く使用され
ソーシャル・メディアはWeb 2.0の象徴的な存在です。企業の
ているP2Pファイル共有アプリケーションは、2012 年から2 年
IT 環境において、快く許可されているかは不明ですが、既に
連続で BitTorrent が首位を占め、使用が確認された組織の
広範囲で利用されています。昨年度のセキュリティ・レポートで
割合も2012 年の 40% から63% に増加しています。また使用
私たちは、Facebook を利用している社員はハッキングやソー
件数も、すべての地域で増加傾向を示しています。
シャル・エンジニアリング攻撃を受ける可能性が高いと指摘、
社員教育とエンドポイントおよびネットワークにおけるセキュリ
ティ対策を強化すべきであると主張しました。
DROPBOX が使用されていた組織の割合
85 %
45
2014 CHECK POINT ANNUAL SECURITY REPORT
DROPBOX の同期機能を利用したマルウェア攻撃
ファイル・ストレージ/ファイル共有アプリケーションは、
Dropbox の自動同期機能によって、そのユーザのアカ
組 織 への 侵 入と機 密 デ ータの 窃 取 に悪 用できる─。
ウントに関連付けられた全デバイスの Dropboxフォルダ
2013 年は、攻撃者とセキュリティ研究者の双方がこの
に複製されます。侵入やC&C 通信、ネットワーク内での
認識に至った年になりました。まず同年 3月、C&Cサーバ
移動、外部へのデータ送信を阻止する境界セキュリティ
の制御とボットネットを利用したデータ窃取にEvernote
対策やデバイス・レベルの対策もすり抜けるDropSmack
を悪用する仕組みが、
ハッカーによって開発されています。
は、マルウェアを拡散させます。
そしてその翌月、あるセキュリティ研究者が、Dropbox の
先ごろDropboxに導入された、暗号化や二要素認証など
同期機能を使用して組織にマルウェアを広める方法を
の新しいセキュリティ機能は、セキュリティ担当者の懸念
公 開。DropSmack 51 と呼 ばれるこの攻 撃 手 法では、
に応えるものです。しかしDropSmackは、これらのセキュ
マクロ・コマンドを埋め込んだ正規のヘッダを含む .doc
リティ機能に関係なく、Dropbox がマルウェアの拡散に
拡 張 子 のファイルを、標 的 の 組 織 に属するユー ザの
利用可能であることを示しており、Dropbox の利用を
Dropboxフォルダに配置します。ファイルを配置する
許可している組織では十分な警戒が必要となります。
コンピュータは、組織支給でもユーザの私物でもかまい
ません。1 台のコンピュータに配 置されたファイルは、
標 的 型 攻 撃を計 画、実 行する攻 撃 者にとって、ソーシャル・
最近参加した、またはこれから参加する大きなイベントなどが
メディアがますます重要な存在となっている現在、Dropbox の
網羅されています。攻撃者は、これらの情報を元に非常に精巧な
リスクは 2013 年以降も拡大を続けることでしょう。
スピア・フィッシング・メールを作成するのです。標的のユーザが
普段使用しているサービスや実際の友人からのメールを巧みに
ソーシャル・メディア・プロファイル
装う攻撃は、高確率で成功します。プロファイリングに基づく
攻撃の成果は、第 3 章で説明したとおりです。
2013 年の調査では、最も多く使用されている(帯域の消費量が
ソーシャル・メディア・
プロファイル
ソーシャル・
メディアへの
投稿内容を
組み合わせて
分析
標的:A 社
ユーザ:山田太郎
最も多い)ソーシャル・メディア・アプリケーションは、前年に
引き続きFacebook でした(図表 4-9)。
TwitterとLinkedInも引き続きトップ 3 に入りましたが、いず
れも使用率では2012 年よりも減少しています。原因はおそらく、
社員による使用が減ったというよりも、業務用 PC の代わりに
モバイル・デバイスを、内部ネットワークの代わりに無線データ
接続を使用してソーシャル・メディアにアクセスするユーザが
図表 4-8
増えたためと考えられます。これは、内部ネットワークのトラ
フィック量が減少し、組織が所有するPC の直接的なマルウェア
感染リスクが小さくなるという意味では好ましい変化かもしれ
特定の組織に狙いを定め、標的とするデータにアクセスできる
ません。しかし、Dropboxなどのファイル・ストレージ/ファイル
ユーザを特定した攻撃者は、
そのユーザのソーシャル・メディア・
共有アプリケーションが広く普及している今日では、私物の
プロファイルを作成します(図表 4-8)。プロファイルには、標的
MacBook やタブレット経由で業務システムにマルウェア感染
のユーザが日常的にアクセスしているWebサイトやオンライン・
が広まることは十分に考えられます(「Dropbox の同期機能を
ショッピング・サービス、電 子メールを交わす友 人や知 人、
利用したマルウェア攻撃」参照)。
46
2014 CHECK POINT ANNUAL SECURITY REPORT
04 APP(ETITE) FOR DESTRUCTION: HIGH-RISK APPLICATIONS IN THE ENTERPRISE
ネットワーク帯域の消費量が多い
ソーシャル・メディア
カテゴリ単位のアプリケーション制御―アプリケーションは、
指定したカテゴリ単位でブロックする必要があります。管理効率
(組織の割合)
が向上するだけでなく、ユーザが使用するアプリケーションを
変更した場合でも、新しいアプリケーションを対象とする制御
Facebook
11%
Twitter
10%
9%
47%
LinkedIn
Flickr
ポリシーを適用できます。
使用を許可するアプリケーションの標準化―IT 部門やビジネス
部門が業務で使用するリモート管理ツールは 1 つに標準化し、
別のリモート管理ツールがネットワークで使用されないよう
監視します。即座に対応できない場合は、少なくとも他ツール
の検出と同時に通知が行われるようにし、利用者や利用目的を
確認します。そして、そのツールの利用を正当な例外としてポリ
8%
Pinterest
シーで認めるべきか、それとも単なる不適切な使用としてポリ
シーで禁止すべきかを判断します。また監視とポリシーの適用を、
図表 4-9
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
特定のユーザやユーザ・グループと関連付けて実施することも
必要です。業務上の必要性があるユーザだけにツールの使用を
許可すれば、セキュリティレベルの維持に役立ちます。ファイル・
ストレージ/ファイル共有アプリケーションにも同様のアプ
ローチが有効ですが、セキュリティに十分配慮された、法人向
けのサービスまたはソリューションを選択することが前提です。
何もかも一律に禁止すると、業務で必要となるファイル共有や
推奨事項
デバイス間データ同期を利用するために、ユーザが「シャドー
高リスクのアプリケーションは、カテゴリを問わず、組織にとって
IT」に走るおそれがあります。
大きな脅威であり続けています。新しいアプリケーションが次から
次へと登場するため、対応はいつも後手に回らざるを得ません。
エンドユーザへの教育―特定カテゴリのアプリケーションすべて
また、アノニマイザーや P2P ネットワークのように、業務上の
をブロックする対応は現実的ではありませんし、望ましくない
必 要 性 が 一 切なく完 全にブロックすべき対 象 がある一 方、
場合もあるでしょう。IT 担当者やセキュリティ担当者はまず、
リモート管理ツールやファイル・ストレージ/ファイル共有アプリ
高リスクのアプリケーションがいかに問題をもたらすかを周知
ケーションのように、ユーザや IT 部門が重宝するツールも存在
するために、総合的かつ継続的なプログラムを実施してエンド
する状況が問題を一層複雑にしています。また Facebook や
ユーザに危機感を共有させます。プログラムでは、各種のアプ
LinkedIn、YouTube などの 主 要 なソーシャル・メディア・
リケーションがもたらすリスクを説明し、スピア・フィッシング
プラットフォームは、組 織のソーシャル・メディア・マーケ
攻撃や著作権違反などの問題を回避する方法、使用が認められ
ティングやコンテンツ・マーケティングにおいて重要な役割を
た安全なツールやプロセスを使用して業務の生産性向上を実現
果たすと同時に、スピア・フィッシング攻撃で悪用されやすいと
する方法について解説します。
いう問題を抱えています。基本的にマルウェア対策では、検出、
防御、駆除の徹底に専念すればそれで済みますが、アプリケー
ション対策ではよりきめ細かな対応が求められます。具体的に
は以下のとおりです。
組織を危険にさらす行為は、マルウェアやアプリケーションの
不適切な使用だけではありません。多くの情報漏洩インシデント
は、不正なソフトウェアが関係していると同時に、単純な人為的
ミスがベースにあるケースがほとんどです。次章では、2013 年
に発生した主要な情報漏洩インシデントとその傾向について
説明します。
47
2014 CHECK POINT ANNUAL SECURITY REPORT
48
2014 CHECK POINT ANNUAL SECURITY REPORT
05
情報漏洩:
導入が急務の DLP
49
2014 CHECK POINT ANNUAL SECURITY REPORT
50
2014 CHECK POINT ANNUAL SECURITY REPORT
05
情報漏洩: 導入が急務の DLP
Adobe Systems や Target、Neiman Marcus などの著名企
業で数百万人の顧客に影響する大規模なデータ侵害インシデ
ントが発生した 2013 年は、改めて情報漏洩問題に大きな注目
が集まりました。
金融関連情報や知的財産、企業の内部情報、認証情報などの
社会保障番号や銀行の口座情報、
クレジット・カード番号は単なるデータではありません。
これらの情報が悪意ある人物の手に渡れば、
それまでの蓄えや金融上の信用を失い、
経済的な破綻に追い込まれるおそれがあります。
データは、ハッカーが狙う定番の資産ですが、最近では、ネット
メリッサ・ビーン 52
ワークへの侵入以外にも、モバイル・デバイスやシャドーIT で
使用されるアプリケーションが攻撃に悪用され、情報の漏洩や
窃取が発生するケースが増えています。そしてこの状況悪化に
拍車をかけているのが、
「モノのインターネット」の登場です。
情報の安全性に対する脅威はハッカーに限りません。情報漏
家庭のエネルギー消費量、車両の位置や状態、荷物の追跡
洩は、内部ユーザの不 注 意によっても発 生します。例えば、
状況、個人の健康状態といった情報をデバイス同士が直接やり
意図した相手への間違ったファイルの送信や、意図したファイル
取りするモノのインターネットでは、データ量の増加とフローの
を間違った相手に送信する、あるいはセキュリティ対策が不十分
多様化により、情報のやり取りの制御とその保護が以前にも
なノートPC を公共の場所に置き忘れるといった人為的なミス
増して困難になっています。
に起因する情報漏洩は、2013 年に発生したインシデントの中
でも多くの割合を占めています。しかし不正な思惑があろうとな
かろうと、情報漏洩の結果は同じです。機密情報がリスクにさ
らされ、顧客の怒りを買い、社会的信用は失墜、さらにはコンプ
ライアンス違反の罰金を科せられて、業務停止に追い込まれる
場合も少なくありません。
88 %
情報漏洩インシデントにつながる問題が
1 件以上発生した組織の割合
51
2014 CHECK POINT ANNUAL SECURITY REPORT
「 情報漏洩リスクはない」と考えている組織は再考を
多くの組織は今日においても、情報漏洩の問題を他人事と
誤って公開 Web サイトに掲載し、7 万ポンドの罰金を科
捉え、厳格なデータ保護ポリシーやそのためのソリュー
されました 54。
ションを導 入していません。一 般 的な認 識と異なり、
ハッカーは大手の金融機関や小売業者以外の組織も標的
Rotech Healthcare は、最 大で社員 3,500 人の個 人
とします。またどのような組織も、電子メールの誤送信や
情報および医療情報が、人事部に所属していた元社員
ノートPC の紛失などによって漏洩しかねない機密情報を
から誤って漏 洩したと発 表しました。この元 社員は、
保有しているはずです。2013 年に発生した情報漏洩
退職後も私物のコンピュータに当該情報を保存してい
インシデントの一例を次に紹介しましょう。
ました 55。
米国フロリダ州の保険局から、患者 3,500 人分の社会
英国の情報コミッショナー事務局は、英国ウェールズ・
保障番号を含む個人情報が盗み出されました。犯人は
アングルシー議会のデータ保護法に違反する、住民の
同局の職員で、税金詐欺を働くためにそのデータを親族に
個人情報への不適切なアクセスの事例(公開 Webサイト
渡していました 53。
に誤って掲載する、電子メールを誤送信するなど)を60
件以上報告しました 56。
英国ロンドンのイズリントン議会は、住民 2,375 人の
個人情報(既往歴を含む)が記載されたスプレッドシートを
2013 年は、小売業者での情報漏洩インシデントが目立ちまし
2013 年の調査では、情報漏洩インシデントにつながる問題
たが、データ上では、すべての業種において前年よりも機密情
(電子メールまたは Web へのアップロードによって機密データ
報の漏洩リスクが高まっています(図表 5-1)。
が組織外に送信されたインシデント)が 1 件以上発生した調査
対象組織の割合は、全体の 88% に上っています。すでに54%
小規模組織のセキュリティ担当者は、
「零細なので情報漏洩を
に達していた 2012 年を大幅に上回り、多くの組織が意図的、
心配する必要はない」と考えがちですが、現実を考えてみる必要
偶発的な情報漏洩の防止に苦慮している現状がはっきりと見て
があります。(「『情報漏洩リスクはない』と考えている組織は
取れます。
再考を」を参照)
。例えば、Heartland Payments57 が取り扱う
クレジット・カードおよびデビット・カードの磁気ストライプから
デジタル情報が盗み出された事件は、史上最大規模の情報漏洩
インシデントに数えられていますが、同社の社員数は 700 名
程度に過ぎません。どのような組織でも情報サプライ・チェーン
の一端を占めていれば、攻撃を受けるリスクを免れることはでき
ません。またハッカーにとっては、小規模な窃盗行為でも十分な
見返りとなる場合があるという事実を理解しておく必要があり
ます。
52
情報漏洩インシデントにつながる問題が
1日あたり29 回発生している計算になる。
2014 CHECK POINT ANNUAL SECURITY REPORT
05 DATA LOSS PREVENTION: THE BIG COMEBACK
情報漏洩インシデントにつながる問題が
1 件以上発生した組織の割合(業種別)
(組織の割合)
49 分に 1 回の頻度で機密データが
組織外に送信されている。
88%
50%
産業
北中南米の組織にとっての資産は主に、ソースコードや業務
88%
61%
データ記録などの事業機密と推定され、実際にこのような情報
は常に攻撃者によって狙われています。経済スパイが組織に与
金融
えている推 定 被 害 額 は、北 中 南 米 だけで 年 間 2,500 億 ∼
87%
70%
5,000 億ドルに及びます。金融機関やヘルスケア企業には、
官公庁
規制が課せられていましたが、製造やエネルギー・インフラ、
79%
45%
輸送、採掘、さらにはエンターテイメントなどの業種にとって予防
的なデータ・セキュリティ対策はほぼ無縁の存在でした。最近
通信
では、こうした業種の組織に対する、マス・カスタマイゼーション
2013
図表 5-1
顧客データや患者データを保護する目的で以前から厳格な外部
2012
によるマルウェア攻撃や標的型攻撃が増加しています。
求められる新たな規制への対応
2013 年はクレジット・カード情報の漏洩インシデントが多発し
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
大きな話題となりましたが、チェック・ポイントの調査によると、
金 融 機 関 からの PCI 関 連 デ ータの 漏 洩 は 前 年 の 36% から
33% へとわずかに減少しています。一方、医療機関や保険会社
漏洩の頻度で見てみると、49 分に1 回の割合で機密データが
では、HIPAA に関係するインシデントが 2012 年の 16% から
組織外に送信されています。情報漏洩インシデントにつながる
25% へと増加していました。
問題が 1日あたり29 回発生している計算です。これは規模や
業種を問わずあらゆる組織にとって深刻な状況であり、機密
データのやり取りをきめ細かく制御する手段の必要性を示して
います。
インシデントの発生件数が特に増加している業種は、産業と
コンサルティングです。その理由は、組織外に送信されている
情報の種類に目を向けるとよく分かります(図表 5-2)。2013
年の調査では、最も多く組織外に送信されている情報はソース
コードで、前年比で約 50% 増と急拡大しています。
53
2014 CHECK POINT ANNUAL SECURITY REPORT
05 DATA LOSS PREVENTION: THE BIG COMEBACK
社員によって
外部に送信されていた情報の種類
(組織の割合)
2013
銀行の口座番号 4%
2012
機密性の高い Outlook メッセージ
パスワードで保護されたファイル
給与情報
ネットワーク情報
クレジット・カード情報
5%
7%
10%
14%
14%
14%
13%
29%
35%
21%
29%
21%
24% ソースコード
図表 5-2
出典:チェック・ポイント・ソフトウェア・テクノロジーズ
33 %
クレジット・カード情報が
外部に送信されていた金融機関の割合
54
3%
機密性の高い
個人情報
6% 業務データ記録
2014 CHECK POINT ANNUAL SECURITY REPORT
05 DATA LOSS PREVENTION: THE BIG COMEBACK
2013 年 には、時 勢 を反 映した 多 数 の 改 訂 が 加えられた、
推奨事項
Payment Card Industry Data Security Standards 3.0
2013 年は年間を通じて、世界的な有名企業や多数の小規模
(PCI-DSS 3.0)58 も発表されました。この改訂版には、以下の
組織で情報漏洩インシデントが頻発し、メディアでも大きく取り
ような要件が追加されています。
上げられました。この事実は、個人情報やビジネス情報を保護
•
POS 端末など、非エンドユーザ・システムに関するセキュ
するための対策が依然として不足していることを示しています。
リティ・プラクティス
モバイルやモノのインターネットの普及により、新たな形での
想定される攻撃(フィッシングやUSBを利用した攻撃など)
データの盗難や意図しない流出のリスクが高まる中、情報漏洩
や、機密データを取り扱う際の責任に関するユーザ教育の
問題は今後もさらなる広がりを見せるものと予想されます。多く
•
強化
•
の情報漏洩インシデントは人為的なミスが主な原因で発生して
カード所有者のデータを保存したネットワーク・セグメントと、 おり、そのリスクを最小限に抑えるためには包括的で総合的な
それ以外のセグメントを分離する制御および保護手段に対
アプローチが欠かせません。
するペネトレーション・テスト
•
PCI-DSS の対象となる顧客の環境に、リモート・アクセス
情報漏洩事件が増加の一途をたどる今日、機密データの流出
するサービス・プロバイダが使用する認証情報
対策はもはや必要不可欠です。意図せぬ情報漏洩を防ぐために
最も効果的なのは、ネットワークの外へ送信されようとしている
全体を通して強調されているのは、教育、意識、そしてセキュリ
データをポリシーに基づいて自動検出することです。このような
ティにおける共同責任という側面です。PCI-DSS 3.0 は 2014
対策は、データ損失防止(DLP)ソリューションの導入によって
年 1 月1 日に発効しましたが、2013 年に発生したインシデント
実現します。コンテンツの種類を認識する高機能なDLPソリュー
の数々は、追加された新しい要件への対応が急務であることを
ションは、複数の形態で導入することができます。
改めて示しています。
DLPソリューションを導入する場合は、事前に明確な DLP 戦略
2014 年には、PCI-DSS 3.0 以外にも、POSシステムの保護や
を策定し、機密扱いとする情報や送信を許可するユーザ、使用
ユーザ教育の必要性を強調した新たなコンプライアンス規制や
を許可するデバイスの種類や場所、方法などの要件を具体的に
データ保護規制、各種要件が施行される見込みです。
定めておく必要があります。ビジネスやセキュリティ、ユーザの
ヨーロッパでは、欧州連合(EU)の新たなデータ・プライバシー
指令である一般データ保護規則(General Data Protection
Regulation:GDPR)59 が 2014 年に発効し、EU 加盟国内や
加盟国間、そしてEU 域外とやり取りされる市民や顧客のデータ
作業効率に関する要件に合わせて、DLPソリューションの導入
方法や設定を最適化するには、まずこのような事前準備が大切
です。また、効果的な DLP を実現するには、ソリューションが
以下に示す機能を備えている必要があります。
を保護するための要件が一層厳格化される見込みです。セキュ
リティ・ポリシーやセキュリティ・プラクティスを継続的に強化
して新たな規制に対応していかなければ、多額の金融制裁を科
される結果を招きかねません。
55
2014 CHECK POINT ANNUAL SECURITY REPORT
PCI 準拠の認定がセキュリティに対する過信を生む?
2013 年末、大規模に発生したクレジット・カード情報の
セキュリティ製品の導入に留まらず、プロセスを実践する
漏洩インシデントをきっかけに、
PCI-DSSとセキュリティの
ことであるという本質的な問題を指し示すものだ」と指摘
関連性、具体的には「PCI 準拠」の認定を受けた企業は
しています。
本当にハッキングに強いのか、という以前からの議論が
再燃しています。
また PCI Security Standards Council の委員長を
務めるボブ・ルッソ(Bob Russo)氏は、PCI 準拠の認定
一部には、PCI 準拠の認定が小売業者や一般消費者の
は、
「その時点における認定」だと強調、
「今この瞬間に
間にセキュリティに対する過信を生んでいるとの指摘もあ
PCI に準拠しているからといって、明日もそうとは限らな
ります。規格自体が継続的に改訂されているという事実
い」60 とComputerWorld の取材に答えています。
は、PCI が時間と共に変化する目標であるという認識の
浸透につながりますが、認定企業でのデータ侵害の発生
認定規格は、組織のセキュリティ状態を評価し、共通の
や認定の取り消しといった事態が、PCIという規格への
指標と比較するための有用なツールです。認定取得に危
不信感を生み出すことは確かでしょう。
うさがあるとすればそれは、セキュリティ対策は「もう済
んだ」と考え、環境やデータの取り扱い方法の変化に合わ
懸念に直面したPCIの管理団体や関係者は、
Targetなど、
せて対策を見直し、修正するという継続的なプロセスを
適切なセキュリティ・プロセスに従っていながらデータ
怠る点にあります。
侵害を受けた認定企業の事例について、
「セキュリティとは、
データの分類―DLPソリューションでは、機密データを正確に
ユーザ自身によるインシデントの解決―従来の DLPソリュー
識別できる機能が何よりも重要です。あらかじめ定義された
ションでは、特定の文書やファイル・タイプの検出、分類、認識
データ・タイプや独自定義のデータ・タイプを使用して、個人を
が可能でも、ユーザが機密情報を他の人や組織と共有しよう
特 定 可 能 な 情 報(PII)や コ ン プ ラ イ ア ン ス 関 連 デ ー タ
としている意図までは把握できませんでした。技術に頼るだけ
(HIPAA、SOX、PCI などが適用されるデータ)、機密性の高い
では、ユーザの意図を理解しそれに合わせて対応を変えるという
企業データなどを正確に検出できなければなりません。また、
柔軟性が欠如しています。そこで最近では、データ送信の可否
組織内外に向けて送信されるデータに対して、ファイル拡張子や
判断にユーザを関与させ、ケースバイケースで適切に対応できる
圧縮形式を問わずにコンテンツ・タイプを認識できるパターン・
DLPソリューションが登場しています。まず、情報が漏洩しか
マッチング 技 術 やファイル 分 類 技 術 を活 用して、SMTP や
ねないデータをユーザが送信しようとした際に、その旨をユーザ
FTP、HTTP、HTTPS、Webメールなど広く使用されている
に通知し、
メッセージを破棄するかそのまま送信するかを確認する
TCPプロトコルのコンテンツ・フローを検査し、ポリシーを適用
というアプローチでは、情報漏洩インシデントをユーザ自身が
できる必要があります。事前に定義されたテンプレートやファ
リアルタイムに防止できるようになります。つまり、データ・ポリ
イル/形式のマッチングに基づいて機密性の高いデータの形式
シーをユーザに示し、危険性のある行為をリアルタイムで通知
を認識し、保護する機能も必須となります。
することでセキュリティを強化しながら、正当な行為をユーザ
自身がその場で承認できるようにするプロセスで、業務への
影 響を最小限に抑えるという仕組みです。さらに管理者は、
個々のデータ送信リクエストに個別対応するのではなく、DLP
イベントを追跡して分析を行えるため、セキュリティ管理も効率
化されます。
56
2014 CHECK POINT ANNUAL SECURITY REPORT
05 DATA LOSS PREVENTION: THE BIG COMEBACK
内部的なデータ侵害対策―機密情報の外部送信の制御に加え
リムーバブル・メディアに保存されたデータの保護―USB スト
て、組織内の部門間で送受信される電子メールの検査と制御も
レージ・デバイスなどのリムーバブル・メディアに保存された
重要です。ポリシーでは、給与や人事、合併買収に関する情報や
業務ファイルの保護が難しいのは、音楽や写真などの個人用
医療診断書といった部門単位の機密情報が、意図せず他部門に
ファイルと、財務情報や人事情報などの業務ファイルを同じ
漏洩するインシデントを防止できる必要があります。
メディアに保存しているユーザが多いためです。リムーバブル・
メディアの暗号化とメディアへの不正アクセスの防止により、
エンドポイントに保存されたデータの保護―ノートPCの紛失や
メディアの紛失や盗難が発生した場合のデータ侵害リスクを
盗難が発生した場合の部外者への情報漏洩を防ぐため、セキュ
最小限に抑えることができます。
リティ・ポリシーでは、ノートPC に保存されたデータも保護の
対象とします。エンドポイントでのデータ保護対策によって、
文書の保護―業務文書をオンラインのファイル・ストレージ/
ハードディスク・ドライブに保存されているあらゆる情報(ユー
ファイル共 有アプリケーションにアップロードする、私 物の
ザ・データやオペレーティング・システム・ファイル、
一時ファイル、 スマートフォンに送る、リムーバブル・メディアにコピーする、
削除済みファイルなど)を暗号化し、情報への不正アクセスを
取引先の担当者と共有するなどの行為は、ビジネス・シーンで
防止します。
はもはや当たり前の光景です。しかしこれらの行為はいずれも、
機密情報の漏洩や悪用を誘発するおそれがあります。業務文書を
確実に保護するためには、ポリシーに基づいて文書を暗号化し、
権限のあるユーザ以外のアクセスを禁止する措置が必要です。
25 %
HIPAA の対象となる
医療情報が外部に送信されていた
医療機関や保険会社の割合
57
2014 CHECK POINT ANNUAL SECURITY REPORT
POS 端末に対する攻撃から得られた教訓
•
POS 端末に対する攻撃から得られた教訓
アップデート・サーバをマルウェアに感染させるなど
POS 端末をハッキングしてクレジット・カード情報を盗み
して、アプリケーション制御をはじめとするセキュリ
出す攻撃は、以前から技術的に可能であるとされていま
ティ対策を回避する
したが、カード情報を保存したサーバを攻撃する方がは
•
盗み出したデ ータを外 部へ送 信する際、暗 号 化、
るかに容易であったため、実際にPOS 端末が攻撃される
標 準的なプロトコル、一般的なネットワーク・トラ
ケースは従来ありませんでした。しかし、カード情報や
フィック・パターンを利用して検出を免れようと試みる
顧客情報を保存したサーバのセキュリティが向上した
現在、攻撃者はデータの源泉、つまりPOS 端末に狙いを
定めるようになりました。その大きな転換点となったのが
2013 年です。POS 端末経由の大規模なデータ侵害事件
は、多くの人々に衝撃を与えました。一方、純粋に技術的
な観点から見ると、端末の攻撃に使用されるマルウェアの
多様さが目を引きます。
•
POS 端末から直接インターネットにアクセスする
(実際の請求処理でも、同様の方法で通信が行われ
る場合が多い)
上記の課題を個別にクリアしても、安心はできません。
なぜなら問題の根本原因は、POS ネットワークと通常の
ネットワークが十分に(またはまったく)分離されていない
点にあるからです。POS 端 末に対する攻 撃は、ネット
POSマルウェアには、
ChewBaccaやDexter61 などメモリ
ワークをベスト・プラクティスに従ってセグメント化する
上のデータを盗み読む汎用的なタイプから、より複雑な
重要性を明確に示しています。適切にセグメント化された
そして百貨店チェーンのニーマン・マーカス
BlackPOS62、
ネットワークでは、ポリシーに従って感染ホストを隔離し、
に対する攻撃で使用された高度な標的型マルウェア に
セグメント間の相互作用を監視して、禁止された相互
至るまで、技術レベルの異なるさまざまな種類が存在し
作用を自動的に遮断することができます。例えば、POS
ます。ただし、POS 端末に侵入して大量のクレジット・
端末が置かれたセグメントのトラフィックの方向やタイプ
カード情報を盗み出す各種マルウェアには、以下のような
を監視して制御すれば、マルウェアの拡散や外部への
共通点も存在します。
データ送信を最小限に抑制できます。このアプローチは、
63
論理的なセグメントを設計および実装してIT 環境全体を
•
古いオペレーティング・システムを採用した POS
ポリシーで制御するという、昨今の技術トレンドの最先端
端末を狙う(公開されたパッチが数か月間適用され
を行くものです。
ないままである場合が珍しくない)
•
標的とする小売業者のクライアントやサーバをマル
ウェアに感染させ、そのシステム経由で POS 端末に
侵入する
イベント管理―DLP 戦略では、組織のデータ利用ポリシーに
適切なイベント管理を実施すれば、外部へ送信されようとして
合致したDLPルールを定義し、ルールを実施するソリューション
いるデータやその送信者を明確に把握し、必要に応じてリアル
を導入するだけでなく、きめ細かな監視とレポーティングを行う
タイムの対策を講じることができます。
必要があります。また、リアルタイムの DLP イベントと過去の
イベントの双方に対して監視と分析を実施することも重要と
次章では、現代の脅威に対して効果的なセキュリティ対策を
なります。
構築するための包括的なセキュリティ・モデルについて概説
します。
58
2014 CHECK POINT ANNUAL SECURITY REPORT
06
今後の脅威にも
対応する
新セキュリティ・
アーキテクチャ:
Software-Defined
Protection
59
2014 CHECK POINT ANNUAL SECURITY REPORT
60
2014 CHECK POINT ANNUAL SECURITY REPORT
06
今後の脅威にも対応する
新セキュリティ・アーキテクチャ:
SOFTWARE-DEFINED PROTECTION
2013 年に確認されたセキュリティ脅威やその傾向を詳細に分析
した本レポートは、セキュリティ担当やビジネス担当の責任者が、
組織が現在直面しているさまざまなセキュリティ問題を理解し、
組織をプロアクティブに保護する
新たなパラダイムが求められている。
IT 環境のセキュリティ強化に必要な対策を把握するために役立
ちます。
主な調査結果は以下のとおりです。
IT 環境にとっての課題は、進化を続けるセキュリティ脅威だけで
•
はありません。自由な情報流通が欠かせない現代のビジネス
•
•
•
マルウェアの「マス・カスタマイゼーション」の普及により、
未知のマルウェアが爆発的に増加。
環境では、ネットワーク間の境界が曖昧になりつつあり、企業の
標的型マルウェア攻撃の成功事例の増加に伴い、マルウェア
データは、クラウドやモバイル・デバイスを通じて移動し、ソー
への接触や感染の件数が全体的に増加。
シャル・ネットワーク経由で四方八方に広がっていきます。個人
組織内で使用される高リスクのアプリケーションが、すべて
所有のデバイスを業務利用する BYOD(Bring Your Own
のカテゴリにおいて世界的な増加傾向を示す。
Device)やモバイル、そしてクラウド・コンピューティングの
情報漏洩インシデントが業種やデータ・タイプを問わず
登場によって、固定的なIT 環境の時代は終わりを告げ、柔軟性
増加。
に優れたネットワークやインフラストラクチャが強く求められる
ようになっています。
組織が直面している課題
本レポートの分析結果は、セキュリティ脅威の継続的な進化を
示すと同時に、多くの組織で採用されているセキュリティ戦略や
セキュリティ技術が、高度化と悪質化の一途を る攻撃に対して
力不足であると明確に示しています。未知のマルウェアの爆発
的な増加により、検出専用のソリューションは急速に時代遅れ
の存在となりつつあります。多様なプラットフォームを狙うよう
になった既知のマルウェアも、既存のセキュリティ対策を無力化
しています。高リスクのアプリケーションや、業務目的で使用で
きるWeb 2.0、ファイル・ストレージ/ファイル共有アプリケー
ション、リモート管理ツールの利用はますます広がっており、
新たな攻撃経路として悪用され始めました。情報漏洩インシ
デントは、不正な意図の有無を問わず、あらゆる規模や業種の
今日、ITインフラストラクチャやネットワークの社会的な重要性
は高まる一方です。そして外部と内部の境界線が曖昧になり、
セキュリティ脅威が巧妙化する中、組織を確実に守る新しい方法
が求められています。
現在広く使用されている単機能型のセキュリティ・ソリュー
ションは、戦術的な事後対応型(リアクティブ)で応急処置的
であり、入念に設計されたアーキテクチャに基づく製品では
ありません。最新のセキュリティ脅威に対処するには、高パフォー
マンスなネットワーク・セキュリティ・デバイスと戦略的な事前
対応型(プロアクティブ)でリアルタイムの保護を組み合わせた
単一のアーキテクチャが必要です。
組織に甚大な被害を及ぼしており、さらにモバイルの普及や IT
すなわち、組織をプロアクティブに保護する新たなパラダイム
のコンシューマ化、モノのインターネットの登場により、データ
が求められているのです。
保護のハードルは上がる一方です。現代の組織では、情報の
流れと利用をきめ細かく制御できる新たな手段が求められて
います。
61
2014 CHECK POINT ANNUAL SECURITY REPORT
06 THE SECURITY ARCHITECTURE FOR TOMORROW’S THREATS: SOFTWARE-DEFINED PROTECTION
新セキュリティ・アーキテクチャ「Softwareモ
ジ
ュ
ー
ル
可
化
視
化
自
動
管
化
理
レ
イ
ヤ
Defined Protection」
進化を続けるセキュリティ脅威から組織を守り、重要性の高まる
IT インフラストラクチャを下支えするため、チェック・ポイントは
セキュリティ・アーキテクチャ「Software-Defined Protection
ス
脅威ェン
ジ )
テリ情報
イン脅威
(
(SDP)64」を発表しました。新たに策定された実用的なセキュ
リティ・ア ー キテクチャ/ 方 法 論 であるSoftware-Defined
Protectionは、モジュール型で即応的、そして何よりセキュアな
対
威
脅
御
レ
イ
ヤ
すると、環境の規模や種類を問わず、組織全体を保護することが
保護
可能になります。例えば、本社や支社・支店、スマートフォン
実施
機能
保護できます。
SDPアーキテクチャ上に構成された保護機能は、脅威動向の
ポイ
ント
実
実施
実施
ポイ
ント
ポイ
ント
施
レ
イ
ヤ
実施
などを利用したモバイル接続環境、クラウド環境などを網羅的に
保護機能
制
デ
ー
保 タ
護
ア
ク
制 セ
御 ス
Software-Defined Protection(SDP)アーキテクチャを実装
策
・
ティ
ュリ ー
セキ リシ
ポ
インフラストラクチャの構築を可能にします。
ポイ
ント
Software-Defined Protectionを構成する3つのレイヤ
変化に自動的に適応します。膨大な数のアドバイザリや推奨事
項に基づいて、セキュリティ管理者が手動で設定する必要は
ありません。同アーキテクチャの保護機能はIT 環境全体とシーム
レスに統合され、組織内外の情報源を協調的に活用することが
ネットワークへのセキュリティ・モデルの実装
可能となります。
SDP が提供するセキュリティ・モデルを実装する簡潔な方法
論は、その最大のメリットの1つと言えるでしょう。checkpoint.
SDPアーキテクチャのセキュリティ・インフラストラクチャは、
co.jp/sdp で無償公開されている「Check Point Software-
相互接続された以下の 3 つのレイヤで構成されています。
Defined Protection - Enterprise Security Blueprint」で
•
実施レイヤ:物理、仮想、およびホスト・ベースのセキュリ
は、SDPアーキテクチャの概要、メリット、実装の方法論を詳
ティ実施ポイントに基づくレイヤです。ネットワークをセグ
しく解説しています。
メント化すると共に、ミッション・クリティカルな環境に
•
おいて保護ロジックを実行します。
以下では、SDP を組織のネットワークに実装し、本レポートで
制御レイヤ:複数の情報源から得た脅威情報を分析し、
取り上げた脅威に対処する方法をレイヤごとに概説します。
実施レイヤが実行する保護機能とポリシーを生成します。
•
管理レイヤ:インフラストラクチャ全体を協調させ、アーキ
テクチャ全体の即応性を最大限に高めます。
実施レイヤ
信頼性、高速性、簡潔性を念頭に設計されている実施レイヤは、
ネットワークの実施ポイントとして機能するネットワーク・セキュ
SDPアーキテクチャでは、高パフォーマンスな実施レイヤと、
リティ・ゲートウェイとホスト・ベースのソフトウェアで構成され
迅速な進化を可能にするソフトウェア・ベースの動的な制御
ます。実施ポイントは、物理コンポーネント、仮想コンポーネント、
レイヤを組み合わせることで、不測の事態への対応能力を高める
エンドポイント・ホスト・コンポーネントとして、組織のネット
と同時に、変化し続ける脅威によるインシデントの発生を未然に
ワークまたはクラウドに実装できます。
防ぎます。
62
2014 CHECK POINT ANNUAL SECURITY REPORT
06 THE SECURITY ARCHITECTURE FOR TOMORROW’S THREATS: SOFTWARE-DEFINED PROTECTION
シンプルな構成のネットワークでは、実施ポイントは境界に配置
既知および未知の攻撃の検出は、制御レイヤの第 2 の要素で
するだけで済む場合もあります。しかし、ネットワークの境界が
ある脅威対策によって実現されます。脅威対策の保護機能は
不 明 確な場 合、どこに実 施ポイントを配 置すればよいので
リアルタイムで更新され、攻撃は実施ポイントによって自動的に
しょうか。
ブロックされます。脅威対策を有効化すれば、ポリシーを個別に
定義する必要はありません。
まず、ネットワークをセグメント化して新たな境界を設定します。
複雑なネットワークをセキュリティ・プロファイルに基づいて複数
脅威対策を有効に機能させるための伴となるのは、脅威に関する
のセグメントに分割し、各セグメントの境界に実施ポイントを
情報です。できるだけ多くの情報源から情報を収集して分析し、
配置すれば、ネットワークの安全性を高めることができます。
それを元に新しい保護機能を生成して、すべての実施ポイントに
リアルタイムで配信する必要があります。
制御レイヤ
SDPアーキテクチャを構成する第 2の制御レイヤは、保護機能
管理レイヤ
を生成してセキュリティ・ポリシーを実施ポイントに配信する
第 3 のレイヤである管理レイヤは、SDPアーキテクチャを具現
役割を担います。管理者は、アクセス制御ポリシーとデータ
化し、アーキテクチャ全体を管理する重要な役割を担います。
保護ポリシーを使用してルール・ベースのポリシーを定義し、
管理レイヤは、モジュール化、自動化、可視化という3つの主要
ユーザ、資産、データ、アプリケーション間の相互作用を制御
機能を備えています。
できます。基 本 的には、ファイアウォールと次 世 代ファイア
ウォールが制御レイヤとなります。
モジュール化は、ポリシーの多層化により管理権限の分掌を
第 4 章で取り上げたリスクの高いアプリケーション(アノニマイ
オープン化は、サードパーティ・システムとの統合によるポリ
ザー、P2Pファイル共有、ファイル・ストレージ/ファイル共有
シーおよび保護機能のリアルタイムでの生成を可能にします。
アプリケーション、リモート管理ツールなど)へのアクセスを制御
そして可視化は、すべての実施ポイントからセキュリティ情報を
実現し、管理における柔軟性を最大限に高めます。自動化と
するポリシーは、この制御レイヤで定義します。制御レイヤの
収集し、組織のセキュリティ状態を網羅的に把握できるように
ポリシーでは、転送中のデータと蓄積されたデータのフローを
します。
制御して、第 5 章で解説した情報漏洩を防止することもできます。
この SDPアーキテクチャにより、セキュリティ脅威の進化や IT
アクセス制御とデータ保護に加え、攻撃者や進化する脅威から
環境の変化に素早く適応できる、モジュール型の動的なインフラ
ネットワークを保護するための手段も必要となります。そのため
ストラクチャが実現します。
には第 2 章と第 3 章で説明した、既知および未知の攻撃を検出
できる保護機能を実装する必要があります。
63
2014 CHECK POINT ANNUAL SECURITY REPORT
07 ABOUT CHECK POINT SOFTWARE TECHNOLOGIES
64
2014 CHECK POINT ANNUAL SECURITY REPORT
07 ABOUT CHECK POINT SOFTWARE TECHNOLOGIES
07
チェック・ポイント・
ソフトウェア・
テクノロジーズについて
65
2014 CHECK POINT ANNUAL SECURITY REPORT
07 ABOUT CHECK POINT SOFTWARE TECHNOLOGIES
66
2014 CHECK POINT ANNUAL SECURITY REPORT
07
チェック・ポイント・
ソフトウェア・テクノロジーズについて
チェック・ポイントは、創業以来 20 年間、インターネットの
チェック・ポイントでは、高パフォーマンスなネットワーク・
安 全性を使命として企業活動を推進してきました。ファイア
セキュリティ・アプライアンスや仮 想 ゲ ートウェイ、エンド
ウォールを発明した創業当初から、ネットワーク・セキュリティ
ポイント・ホスト用のソフトウェア、モバイル・デバイス向け
分野全体を牽引する今日に至るまで、チェック・ポイントは、
のアプリケーションなど、幅広い種類の実施ポイントを提供
進化を続けるインターネットを安全に利用するための技術の
しています。実施ポイントは、組織のネットワークとクラウド
開発に一貫して力を注いでいます。
のどちらにも配置できます。
今日のインターネットは、ビジネスに必要不可欠な社会基盤と
制御レイヤ向けには、業界最高水準の次世代ファイアウォール
しての役割を担う一方、サイバー攻撃者にとって犯罪活動を
機能を提供し、また最新の脅威情報を実施ポイントに配信する、
行う格好の場となっています。チェック・ポイントはこの状況を
オープンなビッグデータに基づくリアルタイムの脅威情報データ
打破すべく、多層型の脅威対策の実装を可能にし、ゼロデイ
ベースであるThreatCloud を運用しています。
攻撃を含むあらゆる脅威に対して最高レベルの保護を実現でき
るセキュリティ・アーキテクチャを開発しました。
チェック・ポイントのアーキテクチャは、サードパーティ・システム
との連携に対応し、高いモジュール性と拡張性を備えた統合
セキュリティ・コンソールから集中管理することが可能です。
Check Point SDP
Software-Defined Protection( SDP)は、新たに出現した
脅威に対処し、必要に応じて新しいテクノロジーを採用するた
めに必要となる高い柔軟性を提供する新しいセキュリティ・
アーキテクチャです。
チェック・ポイントのセキュリティ・アーキテクチャは、今後の
脅威に対処するために今求められるセキュリティを提供します。
SDP の 詳 細 については、www.checkpoint.co.jp/sdp を
o
n
so
le
ご覧ください。
理
P
レ
Is
イ
ヤ
A
Sm
a
rt
Ev
Sm
e
a
n
t
rt
C
この包 括 的なセキュリティ・アプローチと革 新 的なセキュリ
管
O
p
e
n
ティ・ソリューションを組み合わせることで、最新の脅威がもた
らす課題に対処すると共に、セキュリティを組織の競争力として
位置付けることが可能となります。
であると評価されているチェック・ポイントは、この 20 年間、
対
威
脅
御
レ
イ
ヤ
制
デ
ー
保 タ
護
ア
ク
制 セ
御 ス
・
ティ
ュリ ー
セキ リシ
ポ
策
多くのアナリストからネットワーク・セキュリティ市場のリーダー
エンタープライズ・レベルの革新的なセキュリティ・ソリュー
ションとベスト・プラクティスを提供し続けてきました。チェック・
はじめ、大小さまざまな規模の 10 万以上の組織で利用されて
います。
実
チ
ェ
ッ
セ ク・
キ ポ
ゲ ュ イ
ー リテ ン
ト ィ ト
ウ ・ の
ェ
イ
施
レ
イ
ヤ
チ
ェ
ッ
エ ク
ン ・ポ
ド
セ ポ イ
キ イ ント
ュ ン の
リ ト
テ ・
ィ
チ
ェ
ッ
ク
モ ・ポ
セ バ イ
キ イ ント
ュ ル・ の
リ
テ
ィ
チ
ェ
ッ
ク
・
ク ポ
セ ラ イ
キ ウド ント
ュ ・ の
リ
テ
ィ
ポイントの製品は、Fortune 100 および Global 100 の全社を
Check Point SDP
67
参考文献
1
Stoll, Cliff. (2005). The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage. New York, NY: Pocket Books.
2
http://resources.infosecinstitute.com/hacktivism-means-and-motivations-what-else/
3
http://www.entrepreneur.com/article/231886
4
http://www.darkreading.com/advanced-threats/mass-customized-attacks-show-malware-mat/240154997
5
http://www.checkpoint.com/campaigns/securitycheckup/index.html
http://www.checkpoint.co.jp/campaigns/security-checkup/index.html
6
http://www.checkpoint.com/products/threat-emulation/
http://www.checkpoint.co.jp/products/threat-emulation/
7
http://www.checkpoint.com/threatcloud-central/index.html
8
https://supportcenter.checkpoint.com/supportcenter/portal/role/supportcenterUser/page/default.psml/media-type/html?action=portlets.DCFileAction&eventSubmit_
doGetdcdetails=&fileid=20602
9
https://www.checkpoint.com/products/softwareblades/architecture/
https://www.checkpoint.co.jp/products/softwareblades/architecture/
10
http://www.checkpoint.com/products/index.html#gateways
http://www.checkpoint.co.jp/products/index.html#gateways
11
Huxley, Thomas Henry (1887). On the Reception of the Origin of Species, http://www.todayinsci.com/H/Huxley_Thomas/HuxleyThomas-Quotations.htm
12
http://www.checkpoint.com/threatcloud-central/downloads/check-point-himan-malware-analysis.pdf
13
http://usa.kaspersky.com/
14
http://msdn.microsoft.com/en-us/magazine/cc164055.aspx
15
http://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon
16
http://news.cnet.com/Code-Red-worm-claims-12,000-servers/2100-1001_3-270170.html
17
http://www.cnn.com/2004/TECH/internet/05/03/sasser.worm/
18
http://support.microsoft.com/kb/2664258
19
http://www.pcmag.com/article2/0,2817,2370016,00.asp
20
https://www.virustotal.com/
21
http://www.av-test.org/en/home/
22
http://www.checkpoint.com/threatcloud-central/downloads/10001-427-19-01-2014-ThreatCloud-TE-Thwarts-DarkComet.pdf
23
http://contextis.com/research/blog/malware-analysis-dark-comet-rat/
24
http://www.princeton.edu/~achaney/tmve/wiki100k/docs/Portable_Executable.html
25
http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you-need-to-know/
26
Mariotti, John. (2010). The Chinese Conspiracy. Bloomington, IN: iUniverse.com
27
http://www.checkpoint.com/campaigns/security-report/download.html?source=google-ngfw-us-sitelink-report&gclid=CIfK-JuOhrwCFZFxQgodsBYA_w
28
https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/3/html/Security_Guide/ch-risk.html
29
Anderson, Chris. (2006). The Long Tail: Why the Future of Business is Selling Less of More. New York, NY: Hyperion.
30
http://www.fbi.gov/about-us/history/famous-cases/willie-sutton
31
http://searchwindowsserver.techtarget.com/definition/remote-code-execution-RCE
32
http://searchsoa.techtarget.com/definition/Remote-Procedure-Call
68
参考文献( 続き)
33
https://www.checkpoint.com/threatcloud-central/articles/2013-11-25-te-joke-of-the-day.html
34
http://www.checkpoint.com/threatcloud-central/articles/2013-12-03-new-wave-url-domain-malware.html
35
http://www.checkpoint.com/threatcloud-central/articles/2013-11-14-defeating-cryptocker.html
36
http://www.apwg.org/
37
http://www.checkpoint.com/threatcloud-central/articles/2013-12-03-new-wave-url-domain-malware.html
38
http://docs.apwg.org/reports/APWG_GlobalPhishingSurvey_1H2013.pdf
39
http://newgtlds.icann.org/en/program-status/delegated-strings
40
Stephenson, Neal. (2002). Cryptonomicon. New York, NY: Avon.
41
Orwell, George. (1956). Animal Farm. New York, NY: Signet Books.
42
https://www.torproject.org/
43
http://www.pcworld.com/article/2046227/meet-darknet-the-hidden-anonymous-underbelly-of-the-searchable-web.html
44
http://www.huffingtonpost.com/tag/silk-road-arrest
45
http://www.pcworld.com/article/2093200/torenabled-malware-stole-credit-card-data-from-pos-systems-at-dozens-of-retailers.html
46
http://www.britannica.com/EBchecked/topic/278114/Hydra
47
http://msdn.microsoft.com/en-us/library/aa383015(v=vs.85).aspx
48
http://www.securityweek.com/poison-ivy-kit-enables-easy-malware-customization-attackers
49
http://www.checkpoint.com/defense/advisories/public/2005/cpai-20-Decf.html
50
http://www.emea.symantec.com/web/ShadowIT-enduser/
51
http://www.techrepublic.com/blog/it-security/dropsmack-using-dropbox-to-steal-files-and-deliver-malware/
52
http://vote-il.org/politicianissue.aspx?state=il&id=ilbeanmelissa&issue=buscrime
53
http://www.scmagazine.com/florida-health-department-employees-stole-data-committed-tax-fraud/article/318843/
54
http://www.islingtongazette.co.uk/news/data_leak_lands_islington_council_with_70_000_fine_1_2369477
55
http://healthitsecurity.com/2013/11/12/rotech-healthcare-reports-three-year-old-patient-data-breach/
56
http://www.dailypost.co.uk/news/north-wales-news/anglesey-council-under-fire-over-6330304
57
http://www.informationweek.com/attacks/heartland-payment-systems-hit-by-data-security-breach/d/d-id/1075770
58
https://www.pcisecuritystandards.org/documents/DSS_and_PA-DSS_Change_Highlights.pdf
59
http://ec.europa.eu/justice/newsroom/data-protection/news/130206_en.htm
60
http://www.computerworld.com/s/article/9245984/Despite_Target_data_breach_PCI_security_standard_remains_solid_chief_says
61
http://www.csoonline.com/article/723630/dexter-malware-infects-point-of-sale-systems-worldwide-researchers-say
62
http://www.darkreading.com/vulnerabilities---threats/securestate-releases-black-pos-malware-scanning-tool/d/d-id/1141216
63
http://www.businessweek.com/articles/2014-02-21/neiman-marcus-hackers-set-off-60-000-alerts-while-bagging-credit-card-data
64
http://www.checkpoint.com/sdp
http://www.checkpoint.co.jp/sdp/
69
70
71
72
73
www.checkpoint.co.jp
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
〒 160-0022 東京都新宿区新宿 5-5-3 建成新宿ビル 6F
E-mail:info_jp@checkpoint.com Tel:03(5367)2500
©2014 Check Point Software Technologies Ltd. [Protected] - All rights reserved.
P/N EOJ2590 2014.5