サイバー攻撃によるネットワーク侵害の手口

今日のサイバー攻撃は 従来型のセキュリティ対策を回避する

サイバー攻撃の目的や手口は、この数年で大きく変化しました。 もはや不特定多数を狙う遊び半分の攻撃ではなく、価値あるデータの入手を目的とし、標的をさだめた高度で持続的な攻撃が増えているのです。 この新しいサイバー攻撃の特徴は、複数の経路から段階的に実行されることです。攻撃者は、綿密な計画に基づいてネットワークにマルウェアを送り込み、その マルウェアから内部の情報を得て、価値あるデータを盗み出します。

次世代型のファイアウォールやアンチウイルス、Webゲートウェイ、そして比較的新しい技術であるサンドボックスを組み合わせる従来型の多層防御セ キュリティでは、攻撃者の最初の活動、つまりインバウンドの攻撃しか検知することができません。 これらのソリューションはいずれも、シグネチャやパターンに基づいてセキュリティ脅威を見つけ出そうとします。 しかし残念ながら、最近のサイバー攻撃はシグネチャ・マッチングによる検知を回避できるように工夫されています。

 

 

攻撃者はネットワーク・セキュリティの弱点を突いて侵入してきます

新しいタイプのサイバー攻撃は、特定の個人や組織からのデータ窃盗を目的としています。 WebやEメール、不正なファイルといった複数の経路から、ゼロデイ脆弱性やネットワーク・セキュリティ対策の弱点など、ありとあらゆる手段を利用して、特定の標的に攻撃を仕掛けます。

攻撃者は、時間をかけて段階的に攻撃を実行し、綿密な計画に基づいてネットワークに侵入します。高度なマルウェアやゼロデイ・エクスプロイトなど、標的に絞ったAPT(Advanced Persistent Threat)を駆使してネットワークを侵害するのです。

この段階での攻撃は、かなりの確率で成功します。アンチウイルスや次世代型のファイアウォールなどで構成される従来型の多層防御セキュリティは、シグネチャやパターンに基づいて攻撃を検知しようとするからです。 シグネチャやパターンに頼るセキュリティ対策は、ネットワークに大きな「穴」を残してしまいます。

コールバックと外部へのデータ送信

しかし攻撃は、ここで終わりではありません。 ネットワーク内に侵入したAPTは、水面下に潜み、増殖して、ホストのセキュリティ機能を無効にします。  そして攻撃者のC&Cサーバーにコールバック(ネットワーク内部から外部に接続)し、命令を受け取ってからが 攻撃の本番です。命令を受け取ったAPTは、次のような活動を行います。

  • データを盗み出し、外部に送信する
  • 他のエンドポイントに感染を広げ、新たなデータを盗み出す
  • ネットワーク内を偵察し、新たな弱点を見つけ出す
  • 攻撃者の準備が整うまで、身を潜めて待機する

攻撃は、この段階でもかなりの確率で成功します。ほとんどのアンチウイルスや次世代型のファイアウォールは、マルウェアによるC&Cサーバーへのコールバックを監視しないからです。

そこで出番となるのがFireEyeのソリューションです。 FireEyeのソリューションは、侵入からコールバック、偵察、外部へのデータ送信というサイバー攻撃のライフサイクル全体を監視して、高度なマルウェアに対処します。ウイルス、トロイの木馬、スパイウェア、rootkit、スピア・フィッシング、不正な添付ファイル、ドライブバイ・ダウンロードといった攻撃の手段は問いません。 FireEyeは、今日のサイバー攻撃から組織を保護するため、サイバー・セキュリティのあり方を根本から見直しました。FireEyeのソリューションは、この新たな概念に基づいて高度な攻撃を検知、解析して対応します。

FireEye NXシリーズ、検知率99%を記録

第三者テスト機関のDelta Testingが、実際の攻撃で使われている高度なマルウェアを使用して、ベンダー各社の製品をテストを行いました。 結果の詳細については、本レポートをご覧ください。

レポート(英語)を読む