目次
Contents
世界初のサイバー攻撃はフロッピーディスクだった?
インターネットの歴史は、1960年代後半、軍事目的の「ARPAnet」がルーツとされています。ARPAnetは攻撃を受けた時、一部のシステムが破壊されてもダメージを最小限に抑えられるように情報を分散して設置し、それぞれを通信で結び機能を発揮することを目的としました。NSF(全米化学財団)が、このネットワーク方式に注目し学術を目的としたネットワークを考え、1979年「CSnet(コンピュータ科学研究ネットワーク)」を設立し、1986年に「NSFnet」に発展しました。NSFnetは大学間を結んだネットワークを構築し、情報を共有する事を可能にしました。1989年にARPAnetは軍事目的部分を分離、「MILNET」として独立し、残りの部分はNSFnetへと吸収されました。その後、”ティム”・ジョン・バーナーズ=リー氏が開発した「www」と「Mozaic」ブラウザが登場し、一般普及に拍車がかかりました。企業を中心とした「CIX」も接続され、今日の「Internet」となり、商用化への開放をきっかけに、接続業務を売り物にするインターネットプロバイダーが誕生しました。
1989年~1995年頃までウィルスの主な感染経路になっていたのはインターネットからではなく、フロッピーディスクでした。当時はデータ受け渡し用メディアとしてフロッピーディスクが使われることが多く、人づてで地道に感染を広げていました。この頃のウィルスは感染者を驚かせる程度のいたずら目的に留まっていましたが、マイクロソフト「Windows 95」のリリースや、NTT「テレホーダイ」の開始などによって一般的にPCやインターネットが利用されるようになり、インターネットの普及に伴ってその性質が変わっていきます。1996年にはメール経由でのウィルス感染が多く見られるようになり、それ以降、メールを悪用した攻撃手法が確立され、今に至るまで大きな影響を及ぼしています。インターネット接続の主流がダイヤルアップ接続による従量制から、月額定額料金で提供されるADSLなど常時接続サービスにシフトしてからは、ウィルスやワーム、トロイの木馬などが猛威を振るうようになります。
これらに対抗するために開発されたのがエンドポイントセキュリティの一つであるPCにインストールするアンチウィルスソフトウェアです。
エンドポイントセキュリティってどんなものがあるの?
エンドポイントセキュリティは、大きく4パターンに分類されます。
EPP(Endpoint Protection Platform)
「EPP(Endpoint Protection Platform)」は、「Malware(マルウェア)」のシグネチャファイルを使ったパターンマッチングで既知の脅威を検出・ブロックします。いわゆる従来のアンチウィルスソフトウェアにこの手法を使う製品が多く存在します。
EDR(Endpoint Detection and Response)
監視対象となるエンドポイントに専用のエージェントソフトウェアを導入し、そのログを常時取得。データはサーバー上に集約・分析され、不審な挙動が発見された際は即座にシステム管理者へ通知が行われます。管理者側では、ログの精査によって原因や影響範囲を特定できるため、標的型攻撃やランサムウェアなど各種サイバー攻撃への迅速かつ効率的な対応が可能です。
NGAV(Next Generation Antivirus:次世代アンチウイルス)
パターンマッチングをすり抜ける新種や亜種など未知の脅威に対して、AI(Artificial Intelligence:人工知能)や機械学習、振る舞い解析などを用いた検出方法です。「NGEPP(Next Generation Endpoint Protection Platform)」とも呼ばれることもあります。
DLP(Data Loss Prevention)
いわゆる情報漏えい対策のための仕組みがDLPと呼ばれるものになります。不正ユーザーの振る舞いを制限または監視していましたが、DLPではデータそのものを監視し、不正な操作やアクセスが無いかを判断します。
4パターン全部対策しないとダメなの?
更にエンドポイントセキュリティを分類し「強み」と「弱み」を見ていきましょう。
ふるまい検知型
過去のマルウェアが用いた悪意ある振る舞いを分解して個々に重みづけとスコアを設定します。それらの情報を用いて監視対象となるアプリケーションに対してスコアリングを行い、あらかじめ定められた閾値を超えたものを危険性があるものとしてアラートを上げます。しかし閾値を超えずに攻撃を展開できる環境寄生型攻撃には効力を発揮しません。
マシンラーニング型
人の手による特徴点の定義とそれを裏付ける教材データに基づいて「善・悪」「正常・異常」を判断するルールを形成します。ただ検知対象がPEファイルに限定されるため、その他のファイル形式やファイルレス攻撃に対処できません。また、敵対的学習という方法で悪性ファイルを良性と判断させる技法が存在するため対処できません。
ディープラーニング型
マシンラーニングと違って人の手による特徴点の定義を必要としません。ディープラーニングを用いて自律的にRawDataから膨大な数の特徴点を自動抽出して「善・悪」「正常・異常」を判断するためのルールを形成します。検知対象が全てのファイルに広がりますが、データ形式を持たないファイルレス攻撃に対処できません。
ホワイトリスト型
アプリケーションコントロールにおいては、プリロード時に「信頼できる」とされたプロセスが実行時にも信頼できることが前提になっているため、悪用された場合に対処することができません。また、メモリへの不正な干渉についても、過去のIoCに基づく検知ベースのアプローチであり、メモリを保護する仕組みとしては不十分です。
ポリシー共有型
本来は個々の環境に基づいてポリシーが設計されていきますが、共通して利用できるルールを定義ファイルの様に扱うことで運用性を向上させています。しかし、細かい調整は従来品と同じ様に調整する必要があるため、IT統制が効いていない組織で利用する場合には、その恩恵は受けられません。
API監視型
アプリケーションが「どこから」「何が」「どこへ」「何をしようとしている」をAIが独自のスコアリングモデルで評価したルールを用いて、API処理へ強制割り込みして監査することで危険性を判断します。API処理へ強制的に監査の割り込みを行う仕組みであるため、アプリケーションの動作が不安定又は正常に処理されないことがあります。
アンチエクスプロイト型
マルウェアなどを送り込むために展開される不正アクセスの攻撃テクニックを登録したシグネチャに基づいて検出・遮断します。主にレベル「High」に分類される脆弱性対策を中心にポリシーが組まれており、すべての脆弱性を網羅的に対処できるわけではありません。過去の情報を中心に構成するのはアンチウイルスと同じで、パッチ適用は基本的に必要になります。
分離・無害化型
端末のメモリ上に仮想的なVMを構築し、アプリケーション単位で実行環境として割り当てを行います。物理環境とは切り離された環境であるため、仮に仮想端末上で攻撃が展開されたとしても実害を被ることがなくなります。アプリケーション単位で異なるVMが起動されるため、複数のアプリケーションが連携する場合は利用することができません。
動的メモリランダマイズ型
アプリケーション動作時のメモリ配置を意図的にランダマイズすることで、攻撃者がメモリ侵害を目的として従来の場所へ攻撃を実行しても空振りに終わる状態を作り出します。マルウェア等の実行やファイルレス攻撃の様に正規ツールによるレジスト書き込みを阻止することは困難です。アンチウイルスとの併用が前提です。
色々あり過ぎてどれを選べばいいの?
OSプロテクト型を選ぼう
前述のこれらは主にマルウェア等を見つけるという手法の製品であるため、抜け穴が存在しカバレッジとしては脆弱であり、前回のブログ「サイバーキルチェーン」でもお話しました「目的達成」されてしまう可能性はゼロではありません。何度も繰り返しお伝えしている通り「目的達成」されなければ攻撃を阻止することができたと言えます。即ち侵入したマルウェアを見つけて排除するのではなく、マルウェアの不正行為そのものを未然にシャットアウトし「目的達成」できなくする製品を選択することが肝要です。
サイバーセキュリティ対策でお悩みがございましたらどんなことでもお気軽に弊社までご相談ください。
記事 : H.S
