ブログ(製品・サービス関連)

「検知回避」を回避する - 最も新しいオンプレミスEメール・セキュリティソリューション

新たな脅威全てに対応できる組織などありません。脅威の中には巧みに自身を装うものもあれば、単に「未知」のものもあります。こういった脅威を見つけ出すためには、進化を続ける脅威への素早い適応が不可欠です。検知技術と脅威インテリジェンスを組み合わせることで、迫り来るEメール脅威を、より明確にしていくことが可能になります。

しかし残念なことに、多くのEメール・セキュリティソリューションは、これから発生するであろう脅威に合わせたスピードで進化していくことができません。これこそが、FireEye が最新のEメール脅威に対抗する技術を開発するに至った理由です。攻撃者が検知回避技術を高めていくに従い、FireEye はその回避技術を回避する検知技術を開発し、新たな脅威から組織を守るための一助となるべく進化を続けています。

FireEye Eメール・セキュリティ – Server エディションの最新リリースでは、新たな攻撃経路に対するさまざまな検知機能を強化しています。また、パフォーマンスも向上しています。

  • エグゼクティブへのなりすまし攻撃(Executive Impersonation)対策: 社員にメールを開封させるための手段として、攻撃者が経営者や組織の代表者になりすましたメールを送りつけることは、広く知られている通りです。今回の拡張で、表示される送信者名とヘッダーのなりすましを検知することができるようになっています。到着したメールは、Riskware と呼ばれる管理者によって設定可能なポリシーに照らし合わされ、もし、ポリシーに沿わない場合、なりすましの疑いがあるとしてフラグ立てされます。
  •  URL リライト: 見た目や発音を既存の有名なサイトに似せたURLや、表示されるURLとリンク先URLが異なるなどの詐欺メールに対抗するため、正しいURLへの書き換えを行う機能です。
  • パスワードの画像による送付対策:多くのサンドボックスは1つのファイルしか解析しないため、パスワード保護されている場合に問題が生じます。最新のパスワード送付方法の一つとして、パスワードを画像化してEメールに添付する方法が挙げられます。今回の拡張により、パスワードがPNGなどのファイルとして添付されてきた場合にも解析ができるようになりました。画像認識技術を用いてパスワード文字列を画像から抽出し、MVX(MultiVector Virtual Excution) エンジンにて解析を行うことができます。
  • MalwareGuard による機械学習: FireEye エンドポイント・セキュリティに続き、FireEye Eメール・セキュリティ – Server エディションにも、機械学習による未知脅威検出技術である MalwareGuard が搭載されました。本機能により、シグネチャを用いた旧来型対策では検知できない未知脅威の検出が可能になります。本機能は、10年位上に渡るセキュリティ侵害対応の最前線で培われた脅威インテリジェンスと、技術及び経験から形成されています。FireEye のデータ・サイエンティストと実際のインシデント・レスポンス現場におけるテストにより、機械学習はその精度を上げ、人の手を介さずともマルウェアの検出が可能になりました。

検知回避を回避する - Guest Image

最新の脅威に対する検知技術に加え、FireEye は検知回避技術対策にも注力しています。多くの回避技術は、サンドボックス上にエンドポイントドメインやドメインユーザ、Outlook データやブラウザイメージを再現する “Guest Image” によって回避できます。今回のリリースではこの Guest Image のカスタマイズが可能になっており、実際に使われているエンドポイントを「偽装」することができます。特定の条件下でないと動作しないようにプログラムされている、サンドボックス回避策が施されたマルウェアの数は増加する一方であり、このような回避技術は通常、標的とした組織でのみ動作するような制限がつけられています。「ブラウザ履歴」や「最近開いたファイル」などのGuest Image を設定することでマルウェアを騙し、サンドボックスであることに気がづかれずに実行させることが可能になります。

脅威に常に先んじる

「良いセキュリティ」と「より良いセキュリティ」の一番の差はスピードにあります。特にEメールの場合、FireEye の脅威インテリジェンスと FireEye Eメール・セキュリティの併用により、攻撃者の先を読み、先手を打つことができるようになります。