Interop Tokyo 2014

開催日時：2014年6月11日（水）～6月13日(金）

開催場所：千葉県・幕張メッセ

Interop Tokyo 2014は3日間で13万人を超える人員を動員、盛況のうちに終了しました。

パナソニック インフォメーションシステムズの標的型攻撃対策の中核をなす「Palo Alto Networks 次世代ファイアウォール」、その開発を担うパロアルトネットワークス社が会期中行ったセミナーを抜粋で紹介します。　

【展示会場セミナー】

「標的型マルウェアの傾向と2014年サイバーセキュリティの展望～いま注目される”Cyber Kill Chain”コンセプトとは？～」
 講師　パロアルトネットワークス合同会社　技術本部長　乙部　幸一朗　氏

【セミナーレポート】

当社が主催するセミナーでも「標的型攻撃」、「多層防御」といったキーワードでパロアルトネットワークスのエンジニアの方がよく講演を行っています。

今回のInterop Tokyo 2014では、「標的型マルウェアの傾向と2014年サイバーセキュリティの展望 ～ いま注目される”Cyber Kill Chain”コンセプトとは？ ～ 」というタイトルで、技術部長の乙部氏が登壇、まずパロアルトネットワークス社の概要、そのパロアルトネットワークス社が打ち出した「次世代ファイアウォール」について、そして昨今のサイバーセキュリティ事情等を交えて、私も注目しています「Cyber Kill Chainコンセプト」について講演しました。ここにいくつかのポイントを紹介します。

パロアルトネットワークス社の概要

2005年に設立、創業者はNir Zuk(ニア・ズーク）氏、Check Point Software TechnologiesのFireWall-1の開発コードを書いたエンジニアとして有名です。いくつかの会社を経てパロアルトネットワークス社を立ち上げました。2013年ニューヨーク証券取引所に上場、年成長率50%(前年度比）という、セキュリティ業界においては、驚異的な数値をたたき出しています。まさに時代のニーズにあった企業ではないでしょうか。

「次世代ファイアウォール」というキーワードを生み出したのもパロアルトネットワークス社です。先日、当社のホームページの「PICKUP」の記事「パロアルトネットワークス社のスペシャリストに聞くOpenSSL-HeartBleed脆弱性-緊急取材レポート【PART-3】」の中でも紹介しましたが、Gartner Inc.より3年連続でエンタープライズファイアウォールのマーケットリーダーにランクされています。会社を創業してからわずか6年という短期間のうちにその地位を確立、それは「Palo Alto Networks 次世代ファイアウォール」が確かな技術に裏付けられた製品であること、そしてその開発を担うパロアルトネットワークス社が世の中の信頼性を勝ち得ているということを証明していると思います。

次世代ファイアウォールとは

パロアルトネットワークス社が打ち出した「次世代ファイアウォール」とはいったい何か。

まずファイアウォールの働きはというと、一つは通信の制御、そしてもう一つはログ収集。　従来のファイアウォールはポート番号やIPアドレスベースで通信を制御。　それは開いているポートから通信が抜けて行ってしまう、そこに何が流れたのかもわからないということで、本来の目的である通信の制御もできてない、ログをとっても何なのかわからないというになります。

「Palo Alto Networks 次世代ファイアウォール」は従来のファイアウォールのようにポート番号やIPアドレスでの制御を行うのではなく、アプリケーション自体を制御。ネットワーク管理者はモニター画面で、従来のポート番号、IPアドレスに加えてSkypeやFacebook、Twitter等のアプリケーション名を見ることが可能。全通信、全パケット、全セッションもれなく識別をかけていきます。IPアドレスではなくユーザーとして識別したり、IPS^(※1)やアンチウィルス機能で既知の攻撃を見つけて止める事が可能だということです。

また、従来はポート番号での制御、例えば「80番をあける」という制御だったのが、「80番をあける」ということに加えて、「ただしSkypeは通さない」、あるいは「Twitterは見るのは可能だがTweetはダメ！」といった制御が可能に。たとえ知識を持っていていも、数字の羅列より見慣れたアプリケーション名で情報が表示されているほうが作業は絶対に容易なはずです。

【Palo Alto Networks 次世代ファイアウォール】

2013年のサイバーセキュリティ動向

海外では：

 ●Facebookが水飲み場攻撃^(※2)に。社内端末が感染。ゼロディ脆弱性。

⇒被害が発生する前に発見、結果被害なし

 ●Googleの入居ビルの管理システム（ナイアガラ）に脆弱性、ハッキング可能な状態　―　Google Australia

 ⇒セキュリティ調査会社が発見しGoogleに報告、結果被害なし

●アメリカ流通大手Targetでカード情報漏洩

 ⇒多大な被害と莫大な損害賠償が発生

 国内では：

●バイドゥIMEソフトで、クラウド入力設定をオフにしていたにも関わらず入力内容がクラウドに送信されていた。

⇒他ソフトと抱合せて自動インストールされる場合もあり、ユーザーが気づかないうちにソフトを使用、情報送信されていたのでは？
⇒Palo Alto Networks 次世代ファイアウォールはバイドゥIMEのアプリケーション識別可能に！
 

ネットワークの担当者は、意外にネットワーク上で何が流れているかあまり知らないということです。従来型ファイアウォールではIPアドレスやポート番号での管理を行うためそれも必然なのでしょうか。アプリが把握できれば、突然特定のアプリに関連する通信が増加した場合、簡単に特定できるし、疑いを持ってみることが可能になります。

乙部氏によると、「ウィルスはその95％が24時間以内にやってくる。例えば100回ウィルスがばらまかれると95回は最初の24時間できてしまう。アンチウィルスのパターンファイルは大体1日1回更新、シグネチャの配信が来たころにはもうウィルスは来なくなっている。被害を抑えるのには最初の24時間の対応が重要だ」ということです。

「Palo Alto Networks 次世代ファイアウォール」のクラウドベースのサンドボックス機能「WildFire」は、あらかじめポリシーで検査設定を行うと、未知のファイルはクラウドに送信、クラウド上で検査を行い、マルウェアかどうか検査、それを30分間隔で行います。マルウェアであればシグネチャ作成へ。1日当たり2-3万件のファイル送付、うち1万件程度のマルウェアを発見しているということですが、驚くべきことに、主要アンチウィルスではその8割がチェックできていないということです。

ウィルスの侵入経路や、その手口からどうやって情報を盗み取っていくか等、非常に興味深い話が続きました。例えばFacebookを活用して、最終的にはデータを盗み出すという例は、かなり身近に、あるいは自分にも起こり得るという印象を持ちました。詳細に興味のある方は、ぜひ次回の当社のセミナーにご参加ください。お待ちしています。

Cyber Kill Chain Concept（サイバーキルチェーンコンセプト）について

その由来は米軍の軍事作戦の7ステップの攻撃型シーケンス。攻撃する相手を補足、武器化して、攻撃を仕掛けるという一連のシーケンスを作ってそれに応じて軍事作戦を展開するというもの。標的型攻撃も同様に、攻撃者が複数のステップに則って攻撃を行っているため、それに応じて対策をたてようというのが、セキュリティでのサイバーキルチェーンコンセプト。

【具体的な対策】

●　脅威の侵入経路を狭める

企業はインターネットの口をふさげないが、Facebook、mixiといった不要なアプリはブロックしリスクを下げる。ただしマーケティング担当者は必要、マーケの担当のみブロックから外して通すことによりリスク減。

実際にはなかなかそこまでの設定を行っている企業は少ないということですが、例えば突然Skypeでウィルス大流行といった事件が発生した場合、全てのアプリのアクセスログが残っているので、今まで誰がSkypeを使っていたか簡単にチェック可能、また簡単に、明日からSkypeをブロックできる、というように、「何かあったとしても対策をとれるようにすることができるということがポイント」だということです。

●　マルウェアの侵入を防ぐ　－　入口対策

IPSやアンチウィルスだけではなく、PDFのエクスプロイト^(※3)をつく通信、ウィルス本体のダウンロード、スパイウェア通信等複数の脅威を一通りスキャンしてどこかでブロックする。ここで未知の脅威はサンドボックス（WildFire)に送って検証、シグネチャ作成へ。

●　侵入後の脅威の素早い発見により感染端末を無効化

たとえ侵入された後でも、脅威をいち早く見つけることにより、被害が出る前にブロックすることができる。例えば、登録されていないドメインばかりにアクセスする等、ブラックリストには載っていないが、通信のふるまいから、怪しい端末をあぶりだすことができる。

サイバーキルチェーンの特徴は、一番手前で止めることができれば、被害は最少。仮に侵入されても、その場合の対策を持っておくということが重要ということです。

Cyveraについて

当社のホームページの「PICKUP」記事のパロアルトネットワークス社のスペシャリストに聞く　OpenSSL-HeartBleed脆弱性-緊急取材レポート【PART-3】の中でも紹介しましたイスラエルのCybera社の買収。これによりパロアルトネットワークス社はエンドポイントセキュリティの強化を実施中です。その特長的な機能はというと「エクスプロイト」を止めるというもの、近々パロアルトネットワークスの製品にこの機能が実装されるということです。詳細については。。。今後開催されるセミナーにぜひご参加ください。

2014年は？

乙部氏は2014年の傾向を次のように読み解きました。
・脅威の発見時間が短縮されより多くのサイバー事件が明らかに
・ユーティリティ企業（電気・ガス・水道等の重要インフラ）に対するサイバーテロの危険性
・暗号化通信の利用が増加
・モバイルアプリの数が増加

本当にたくさんの来場者の方がこのセミナーに足を運ばれました。

【Interop Tokyo 2014 展示会場セミナー風景】

セミナーの内容も非常に濃いもので、熱心にメモをとる方も多く見うけられました。とてもこの狭いページ内では紹介しきれません。ぜひ次回開催の「標的型攻撃対策」セミナーにご参加ください。

パナソニック インフォメーションシステムズは、「標的型攻撃対策」をはじめ、今後も様々なテーマのセミナーを開催予定です。

※1:IPS（Intrusion Prevention System）とは、サーバやネットワークへの不正侵入を阻止するツール
※2:水飲み場型攻撃（Watering Hole Attack)とは、攻撃対象のユーザーがよく利用するWebサイトを不正に改ざんすることで、ウイルスに感染させようとする攻撃
※3:エクスプロイト（Exploit)とは、ハードウェアやソフトウェアの脆弱性を攻撃するために作成されたスクリプトまたはプログラムの総称

取材記者：池田　レポート制作日：2014年6月19日