セキュリティギャップ解消のための3つの要件とは 〜TippingPoint Technical Forumレポート〜 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.21(土)

セキュリティギャップ解消のための3つの要件とは 〜TippingPoint Technical Forumレポート〜

特集 特集

3月10日、都内においてTippingPoint日本支社(日本支社長 相馬 正幸)とNTTアドバンステクノロジ株式会社が共同で「TippingPoint Technical Forum」を開催した。このForumではTippingPoint社の研究開発機関「DVLabs」のシニアマネージャであるロヒト・ダマンカール氏は最新のネットワーク脅威の傾向とIPSの優位性について講演を行った。今回はその模様をレポートする。

「DVLabs」シニアマネージャ ロヒト・ダマンカール氏

「TippingPoint日本支社とNTTアドバンステクノロジ株式会社が共催の「TippingPoint Technical Forum」で講演を行う」

●大きく3つに分類できる最新のネットワーク脅威の傾向

3月10日、都内においてTippingPoint日本支社(日本支社長 相馬 正幸)とNTTアドバンステクノロジ株式会社が共同で「TippingPoint Technical Forum」を開催した。壇上に立ったTippingPoint社の研究開発機関である「DVLabs」のシニアマネージャを務めるロヒト・ダマンカール氏はDVLabsだけでなく「SANS Top-20 Internet Security Attack Target project」ディレクターも務めており、最新の脅威について分析、対策を行っている。

ロヒト氏はまず、最新のネットワーク脅威の傾向として、「過去に大規模な被害をもたらしたワームが現在も活動しており、新たな亜種も発生しつつけていること」「情報に対するクリティカルな攻撃の増加」「インフラに対するクリティカルな攻撃の増加」の3つを挙げた。

過去のワームについては、「Slammer」および「Windows RPCワーム」を例に挙げ、2008年のデータにおいてもこれらのワームは世界中のTippingPoint IPSで検出されており、「Slammer」は1月下旬に20万台近く、「Windows RPCワーム」は2月上旬に3千台近くを検出している。また、最新のデータでは、検出される「Windows RPCワーム」のうち「Blaster」が半数近く、「Sasser」が3割を占め、「Gaobot」が2割弱を占めていた。

なお、システムが攻撃された原因は、日本の場合「Windows RPCワーム」では「Sasser」および「Zotob」、Webアプリケーションへの攻撃では「PHPファイル追加」、またブルートフォース攻撃が多いという。ただし、TippingPoint IPSを大学に導入しモニタした結果では、3日間に7,000以上、平均2分に3回の攻撃が観測されたが、IPはカナダのものでホストはスイスと攻撃のグローバル化が進んでおり、地域性は希薄になっているという。

攻撃手法のステルス化も顕著であり、ロヒト氏はクライアントPCを攻撃するためにWebページに潜ませる手法のひとつを紹介した。これは、HTMLをわかりにくくすることでセキュリティ対策をすり抜けるというもの。「f」を「0x66」、「a」を「0x61」などASCIIコードをベースに手を加えることで、「<iframe>」は「<i146r'+'u0061u006d145」となる。これによりセキュリティをかいくぐり、悪意あるプログラムの実行やダウンロードなどに悪用する。

●セキュリティは守るより攻撃する方が儲けになる

ロヒト・ダマンカール氏

「攻撃者のモチベーションも、従来の愉快犯的な攻撃をアピールするようなものから、金銭的な目的に移行してきた。セキュリティは守るより攻撃する方が儲けになり、政治や宗教をベースとするテロなどがモチベーションを上げている」
このような攻撃は、ブラウザやMicrosoft Office、Adobe製品などのファイルフォーマット、メディアプレーヤといったアプリケーションの脆弱性をターゲットとしている。同様に、HTTPリクエストやリプライにファイルの実行コマンドを埋め込むステルス技術も紹介された。特に最近目立って増加しているWebアプリケーションに対する「PHPファイルインクルード攻撃」はほとんどがゼロデイであり、通常のセキュリティ対策では対処できないという。

また、情報に対するクリティカルな攻撃の増加では、Webアプリケーションを含むアプリケーションやOSの脆弱性が背景にある。PHPファイルインクルード、SQLインジェクション、クロスサイトスクリプティングの3種類で、攻撃全体の66%を占めている。さらに、これら3種類の攻撃やVoIPとフィッシングを組み合わせた攻撃も増加する兆しがあり、警戒を強める必要があるとしている。

インフラに対するクリティカルな攻撃は、いわゆるサイバー攻撃で、やはり増加傾向にある。最近では、エストニアがロシアを発信元とするDDoS攻撃を受け、エストニアのネットワークが深刻なダメージを受けた。また、電力などライフラインで使用される独自のプロトコルをコントロールしようとする攻撃も確認されており、ライフラインを人質として身代金を要求するサイバー攻撃も想定すべきであるとしている。

攻撃者のモチベーションも、従来の愉快犯的な攻撃をアピールするようなものから、金銭的な目的に移行してきた。セキュリティは守るより攻撃する方が儲けになり、政治や宗教をベースとするテロなどがモチベーションを上げているという。また、アジアが攻撃の温床となっていることがデータから明らかになっている。攻撃手法は洗練され、複雑化、巧妙化も進んでいるため、それらに対応したセキュリティ対策が求められているとロヒト氏はまとめた。

●TippingPoint IPSの強み

ソフトウェアなどは次々に新しい脆弱性が発見されている。また、攻撃だけでなく攻撃者の数も増加しており、攻撃の手法も多岐にわたっている。また、企業ネットワークに接続される端末の数やIPベースのアプリケーションの数も増加し、これらも漏れなく脅威から守る必要がある。しかし、これに対し企業のセキュリティ能力はなかなか強化されていかない。ロヒト氏はこれを「セキュリティギャップ」と言い、ギャップは増え続けているという。

セキュリティギャップを解消するには、「悪意あるトラフィックを遮断すること」「企業内の誰がどのようなデバイスを使用しているかの把握」「機密情報を漏らさない」という3つの要件を満たす必要がある。しかし、IDSによる従来の対策では外部からネットワークのトラフィックを監視するため、手動によりアラートを出すため効率が悪く、またIDSをインラインに設置し半自動化しても帯域が限定される上にフィルタの数も増やせず、レイテンシーが低くなってしまう。

TippingPoint IPSでは、インラインに設置することでトラフィックを漏れなく監視し、悪意あるトラフィックを遮断できる。しかも、自動的にアップデートされる「脆弱性フィルタ」「Exploit-Specificフィルタ」「ポリシーフィルタ」「プロトコルアノマリフィルタ」といった複数のフィルタによって、誤検知なく最新の脅威から企業を守ることができる。帯域制御も可能だ。

IPSを企業ネットワークのさまざまな場所に配置していくことで、より強固に企業を守ることが可能となる。さらに、今後は冗長化が可能な10Gbpsのスループットに対応することで負荷分散を実現し、またNAC(Network Access Control)によって、誰が何でアクセスしているかなどを詳細に把握することができる。ロヒト氏は最後に「Wall Street Journal」の記事を紹介した。これによると、PCにウイルス対策ソフトが必要なように、ネットワークにはIPSが必要となる。また、今後IPSはネットワーク保護のため必須となり、2011年には2千億円規模の市場になるとしている。

【執筆:吉澤亨史】

【関連記事】
日本のIPS導入状況は〜専業ベンダTippingPoint相馬支社長(1)
https://www.netsecurity.ne.jp/3_11159.html
日本のIPS導入最新動向〜専業ベンダTippingPoint相馬支社長(2)
https://www.netsecurity.ne.jp/3_11275.html

【関連リンク】
TippingPoint日本支社 japan@tippingpoint.com
http://www.tippingpoint.com/japan/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×