パロアルトネットワークス 次世代ファイアウォール「PAシリーズ」 モダンマルウェアによる標的型攻撃は 次世代ファイアウォールが防ぐ!

標的型攻撃対策とは、つまり「モダンマルウェア」との戦いである。従来型のアンチウィルスでは検知できず、それゆえ対策が困難なモダンマルウェアだが、パロアルトネットワークスの次世代ファイアウォール「PAシリーズ」なら3つの方法でストップできる。
菅原継顕氏

パロアルトネットワークス
マーケティング部長
菅原継顕氏

 次々と深刻な被害が明るみに出る標的型攻撃――。もはやすべての企業・団体にとって、標的型攻撃への対策は不可欠になっているが、一体どのようにして自社の情報資産を守ればいいのだろうか。

 「標的型攻撃に関して、最も注意しなければならないのは『モダンマルウェア』です」と説明するのはパロアルトネットワークスの菅原継顕氏だ。

 モダンマルウェアとは、社内ネットワークに何らかの方法で侵入を果たし、情報資産を盗み出すための悪意のあるソフトウェアのこと。ほとんどの標的型攻撃で、モダンマルウェアが中核的な役割を担っている。

 つまり、モダンマルウェアの活動を阻止することが、標的型攻撃対策では最優先事項になるのだ。

モダンマルウェアとは?


 では、モダンマルウェアは、通常のマルウェアとは何が違うのだろうか。菅原氏によると、モダンマルウェアには次の2つの特徴があるという。まずは、「従来型のシグネチャベースのアンチウィルスでは検知できない」ということだ。

 特定の組織をターゲットにする標的型攻撃では、マルウェアに関してもカスタマイズしたものが用いられる。アンチウィルスの目をかいくぐって侵入を図るためだ。パロアルトネットワークスの調査では、発見初日にどの主要アンチウィルスベンダーでも検知できなかったゼロデイマルウェアの割合は3割にも及ぶ(図表1)。

図表1 従来型のアンチウィルス対策では検知できないモダンマルウェア

図表1 従来型のアンチウィルス対策では検知できないモダンマルウェア

 もう1つの特徴は、「ネットワークに依存し、ネットワークを活用する」ことである。モダンマルウェアは単体では活動しない。外部にある司令塔役のC&C(Command & Control)サーバーと連携しながら攻撃を遂行していく。「C&Cの指示にしたがいアップデートファイルをダウンロードし、新機能を追加したりセキュリティ対策を回避するといった行動もモダンマルウェアは可能です」と菅原氏は話す。

 従来型の対策では発見できず、社内に身を潜めながら外部ネットワークと連携して情報を盗み出すモダンマルウェア――。この“難敵”を退治するのに必要なのが、パロアルトネットワークスの次世代ファイアウォール「PAシリーズ」である。

すべてを守る、だから次世代ファイアウォール


 パロアルトネットワークスのPAシリーズが“次世代”を名乗るのは伊達ではない。

 セキュリティの歴史を振り返れば新たな脅威が登場するたびに、それに対抗する新たな防御策が発明されてきた。次世代ファイアウォールも同様である。

 FacebookやYouTube、Gmail、Skype、Dropboxなど、数多くのアプリケーションが現在ではネットワーク越しに利用されているが、「従来型のファイアウォールはIPアドレスやプロトコルくらいしか識別できないので、こうしたアプリケーションのどれを許可してどれを禁止するかといったコントロールは困難です」。

 そこでパロアルトネットワークスの創業者でCTOのニア・ズーク氏が発明したのが、アプリケーションを安全に使用可能にする次世代ファイアウォールである。ズーク氏は過去にステートフルインスペクションファイアウォールやハードウェアIPSなども発明しているネットワークセキュリティ業界における真のイノベーターだ。

 また、これまでのネットワークセキュリティの歴史は、新たな脅威が登場するたびに、新たなセキュリティ対策を追加導入していく歴史だったともいえるが、そこに革新をもたらしたのも次世代たるゆえんだ。パロアルトネットワークスのPAシリーズでは、脆弱性攻撃やウィルス、URLフィルタリングなど様々な脅威に1台で対応できる。

 というと、似たようなソリューションとしてUTMが思い浮かぶが、菅原氏によればUTMとは決定的な違いがある。「複数のセキュリティソリューションを1つの箱にまとめたのがUTM。一方、我々の次世代ファイアウォールは1つのエンジンで、様々な脅威をブロックできます」。

 この違いは、パフォーマンスの歴然とした差としても表れる。UTMの場合、例えばファイアウォールとIPS、アンチウィルスの3つをオンにすれば、1台のハードウェア上で3つのエンジンが同時稼働することになり、スループット性能が大幅に低下する。それに対してパロアルトネットワークスのPAシリーズでは、UTMで起こるような性能低下はない。前述の通り、次世代ファイアウォールは1つのエンジンで様々な脅威に対応しているからだ。「この種類の“火”だけ止めますというのは、本当のファイアウォールではありません」。

 そして、次世代ファイアウォールが止められる“火”の1つには、標的型攻撃に使われるモダンマルウェアももちろん含まれる。

3つの対策でモダンマルウェアを無力化


 パロアルトネットワークスのPAシリーズは、3つの対策でモダンマルウェアをストップする。

対策1:脅威の侵入経路を狭める
 モダンマルウェアの侵入経路は、1つではない。EメールやUSBメモリーなど様々な侵入経路があり得るが、今後リスクが確実に増加していくと見られるのが、FacebookやTwitter等のソーシャルネットワーク経由の感染だ。例えば、Facebook上で知人になりすまして接触し、モダンマルウェアに感染させるといった手口は、海外ではすでによくあるものとなっている。

 しかし、ソーシャルネットワークはマーケティングや情報収集など、ビジネス活動においても有用である。「標的型攻撃にEメールがよく使われるからといってEメールを禁止するわけにはいかないのと同じように、ソーシャルネットワークも止めるわけにはいきません」。

 そこでアプリケーションを安全に使用可能にするのが、次世代ファイアウォールだ。業務上、必要な従業員だけにソーシャルネットワークの利用を許可することで、モダンマルウェアの侵入経路を狭めることができる。

対策2:モダンマルウェアをWildFireで検知
 PAシリーズのモダンマルウェア対策において、最大のポイントといえるのが「WildFire」だ。シグネチャベースのアンチウィルスでは検知できないモダンマルウェアを検知するための機能である。

図表2 モダンマルウェア対策機能「WildFire」の仕組み

図表2 モダンマルウェア対策機能「WildFire」の仕組み

 WildFireの仕組みはこうだ。インターネットとの接続口や社内トラフィックにおいて、Web、メール、FTP、ファイル共有など様々なアプリケーションを介してやってくるファイルを監視。信頼できないゾーンからの未知の実行ファイルに関してはクラウドに送信する。そして、クラウド上に用意された、それぞれが隔離された仮想Windowsマシンであるサンドボックス環境で未知のファイルを実際に実行し、100以上の振る舞いを検査することでマルウェアかどうかを判定する。

 マルウェアと判定された場合には詳細なレポートとシグネチャを自動生成。シグネチャは世界中のPAシリーズにも30分おきに配信される。このため自社で検知したモダンマルウェアだけでなく、世界中で発見されたモダンマルウェアに対処可能だ。

対策3:ボットネット検知レポートで感染端末を発見
 モダンマルウェアは外部ネットワークと連携して活動する。この特徴を逆手にとり、モダンマルウェアに感染した端末を早期に発見することもできる。スパイウェアサイトや特定のIPアドレスへ頻繁にアクセスしていたり、実行ファイルを頻繁にダウンロードしている端末など、ボットネット化した疑いがある端末を洗い出すボットネット検知レポート機能も搭載しているからだ。

 このように3つの対策でモダンマルウェアの脅威から企業・団体を守るPAシリーズ。「標的型攻撃には“特効薬”はない」とよく言われるが、標的型攻撃で最も注意すべきモダンマルウェアについて言えば、“特効薬”はあるのである。

ホワイトペーパーダウンロード
ホワイトペーパーダウンロード 標的型攻撃の正体を知る小冊子
「すぐ分かる モダンマルウェアの脅威と対策」


従来のセキュリティ対策が意味を成さない「モダンマルウェア」の攻撃から、どうやって企業を守るか。まずはその手口の網羅的な理解と対策方法を本書を通じて身に付けてほしい。

ホワイトペーパーダウンロードはこちら
page top
お問い合わせ先
パロアルトネットワークス合同会社
URL:http://www.paloaltonetworks.jp/
メール:infojapan@paloaltonetworks.com