Webroot
膨大な情報を保有する
巨大なデータベースが
未知の脅威への対応を可能に
企業・組織の継続にとって重要な情報が置かれているエンドポイントをいかに守るか。これは、情報システム部門の方にとって非常に重要な課題です。このコーナーでは、近年、さまざまなセキュリティ対策の中でも注目度が高いエンドポイントのセキュリティ対策について、SKYSEA Client Viewが連携しているEDR(Endpoint Detection and Response)メーカー様にお話を伺います。第1回の今号では、Webroot SecureAnywhere Endpoint Protection(以下、エンドポイントプロテクション)のメーカーであるウェブルート株式会社のご担当者にご協力いただきました。

最も注意するべきなのは
人間の心理を突いたフィッシング攻撃

今、最も注意するべきサイバー攻撃についてお聞かせください。

ウェブルート株式会社

第1営業部
部長

杉中 将彦

このところ、フィッシング攻撃の増加傾向が続いています。典型的な手口は、多くの人が利用したことのあるAmazonやFacebookなどをかたったメールを送りつけ、そこに記載したURLをクリックさせることで偽のWebサイトに誘導、入力されたID・パスワードなどの個人情報を盗み出すというものです。近年、フィッシングに使われる偽のWebサイトは、本物との違いがわからないほど精巧に模倣され、アクセスしたWebサイトが正規なのか偽物なのか、一般の使用者では判別ができなくなっています。フィッシング攻撃は、2020年の東京オリンピックに向けてさらに増え続けると予想されています。サイバー攻撃による個人情報漏洩の原因は、ほとんどがフィッシング攻撃によるものです。企業・組織の情報を守るためには、早急にフィッシング攻撃への対策を強化する必要があります。

フィッシング攻撃による被害が増えている要因は、数年前に比べ手口が巧妙になっているためです。攻撃者は、攻撃の対象とする企業・組織を絞り、ターゲットをフィッシングサイトへ誘導します。攻撃者から届くメールは、以前はおかしいと気づけるレベルのものでしたが、近年は自然な日本語で書かれている上、上司や取引先を装い内容も偽物とは疑わないものに進化しています。知人からのメールであれば、そこに書かれたURLに疑念を持たずアクセスしてしまう、人間の心理を突いた攻撃が仕掛けられているため、従業員への教育だけで防ぐには限界があり、システムを活用して止めることが重要です。

フィッシング攻撃の中でも、特に気になっていることはありますか?

オンラインストレージ上のファイルを狙った攻撃を注視しています。業務時間内に終わらなかった資料作成の続きを自宅で行うなどの目的で、個人が契約しているオンラインストレージサービスに業務データが置かれることは意外に多く、オンラインストレージサービス上のファイルが狙われる頻度が高くなっています。多くの人が、個人で使用している複数のサービスに同じID・パスワードを使い回しているため、AmazonやFacebookなどの認証情報を偽のWebサイトに入力してしまえば、その従業員個人が被害に遭うだけでは終わらない可能性が高くなります。発売前の製品情報や顧客情報をオンラインストレージに置いていれば、営業秘密や個人情報の漏洩につながります。AmazonやFacebookなど誰もが知るメジャーなショッピングサイトやSNSを、一つも利用していないという人は少ないと思います。それらのサービスを使うのであれば、IDに会社のメールアドレスを使わないことはもちろん、パスワードをサービスごとに異なる設定にすることを従業員に徹底する必要があります。また、自宅(私物)PCでの業務を許可している場合、業務メールのチェックなど少しでも自宅(私物)PCで作業することがあるならば、自宅(私物)PCのセキュリティ強化は必ず行うことも徹底しなければなりません。

そのほかにも、いくつもの手法を組み合わせ攻撃の成功率を高めるアプローチが昨年から増加しています。このタイプの攻撃は、最初の攻撃で誰もだまされず失敗に終わっても、狙った標的に対し多様な攻撃を仕掛けてきます。これをさまざまな機能がついている十徳ナイフになぞらえて「スイスアーミーナイフ」アプローチと呼んでいます。波状攻撃が続くうちに、誰かがどれか一つに引っかかることで、ネットワーク内のPCが次々に感染し、最終的に重要な情報が盗まれてしまいます。近年、新たな攻撃が次々に発生し、中小企業を狙ったサイバー攻撃も深刻化しています。大企業に比べセキュリティ対策が甘いと言われている中小企業をターゲットにした攻撃が増えているため、今後、セキュリティ対策ツールメーカーは、中小企業向けに特化したソリューションを提供することが課題になってくると思います。

脅威情報を5分以内にデータベースへ反映
高精度でリアルタイムな脅威検出が可能に

貴社製品「エンドポイントプロテクション」の特長をお聞かせください。

最大の特長は、収集している膨大なデータから、ユーザーがアクセスしたWebサイトの情報をリアルタイムで解析できることです。アクセスしたWebサイトが偽物だと判断した場合には、その接続をすぐに止めることができるので、メールに記載したURLをクリックさせるフィッシング攻撃への対策として活用いただけます。

「エンドポイントプロテクション」は、どこか別の国で今見つかったばかりのマルウェアでも、クラウド上のデータベースに情報が登録された次のタイミングで、日本やアメリカ、フランスなど世界中どこに置かれたPCでも、インターネットにつながっていれば5分以内に守ることができます。このような脅威情報を素早く反映し高精度でリアルタイムな脅威検出を可能にしているのは、データベースがクラウド上にあるためです。当社が入手した情報だけでなく、脅威インテリジェンスサービスを提供しているセキュリティ製品メーカー各社が入手した情報の提供を受けていることも、非常に豊富な情報量につながっています。

また「エンドポイントプロテクション」は、近年変化している働き方にも対応しています。働き方改革が叫ばれるようになり、場所にとらわれない働き方を取り入れる企業・組織が増えてきましたが、ウイルス対策ツールの定義ファイルを社内ネットワークに接続しなければ更新できないのでは、マルウェアに感染するリスクが高まります。これまでも、出張など長期間社内ネットワークに接続できない状況にあるPCのセキュリティは問題となってきました。「エンドポイントプロテクション」は、インターネットにつながりクラウドに接続できれば、自動的に最新の状態に更新できることも、お客様から評価いただいています。

ウェブルートの 4 大特長

できたばかりでデータベースに情報がなく、善悪が不明のファイルに対しては、どのように対応するのでしょうか?

今できたばかりで、善悪の判断ができない新しいファイルの場合、まずはローカルにファイルの行動履歴を残して判定します。例えば、そのファイルがランサムウェアだった場合、ファイルの作成やレジストリへの書き込みはよくある行動なのでいったん問題なしと判定します。しかし、最後にそのファイルを暗号化しようとしていることを検知すれば、この動作はランサムウェアだと認識し暗号化を停止、今まで行ってきた変更履歴を自動で元に戻します。

現在では、マルウェア全体の93%がポリモーフィックと言われる変異型で、未知の脅威です。定義ファイルのパターンマッチングでは検知できないマルウェアが9割を超える状況のため、被害を防ぐには素早い判断と自動で対処まで行えることが重要になってきます。未知の脅威から瞬時に守ることができるのが「エンドポイントプロテクション」の特長です。未知の脅威に対しては、ファイルの振る舞いだけで判断するのが難しいこともありますので、ファイルが送られてきたサーバーのURLも確認し、危険なサーバーから送られてきたことがわかれば接続を止めます。さらに、パターンマッチングの機能も搭載していますので、既知の脅威に対しても活用いただけます。

また、安全だと認識していたWebサイトが、常に安全とは限りません。あるタイミングから中身を書き換えて危険なWebサイトになっているのはよくあることです。この変化は、単純にURLのデータを見ているだけでは気づきません。当社は常にリアルタイムに解析を行い、URLの変更履歴を残しているため、危険な動きをしたことを瞬時に判断できます。

このようにURLやIPアドレス、ファイルの動作、使用したアプリケーションなどを複合的に判断できるのは、先に述べましたように膨大なデータを蓄積しているからです。当社のデータベースはAWS(Amazon Web Services)上にありますが、そのデータ量はクラウド上に置かれているすべてのデータの中で、上位10社に入っています。非常に巨大なデータベースを有し、膨大な情報を素早く解析できることは当社の最大の強みです。同様の情報を収集されているエンドポイントセキュリティメーカーもありますが、当社には10年以上の歴史があり、他社とのデータ量の差は圧倒的です。フィッシングサイトの生存時間の平均が4~8時間であることから、生まれたばかりのWebサイトの善悪は4時間以内に判断できなければ被害が一気に拡大してしまいます。当社はこの巨大なデータベースを活用し、未知の脅威に対しても8~9割を適切に判断できるよう努めています。

ふるまい検知の仕組み

スキャン時間の短縮と更新作業からの
解放でストレスと業務負荷を軽減

最後に、「エンドポイントプロテクション」を未知の脅威への対応以外の目的で導入するメリットについてお聞かせください。

情報システム部門の方々は非常に多忙でいらっしゃいます。中小企業では、別の業務と兼務されていることも多いため、業務負荷の軽減が課題になっていると思います。「エンドポイントプロテクション」は、一度インストールをしていただけば更新作業は不要です。最初に各企業・組織のセキュリティポリシーをPCへ配信しておけば、マルウェアを検知すると勝手に隔離します。エンドポイントセキュリティツールの入れ替え時には、入れ替え前のツールをアンインストールしてから新しいツールをインストールするまでの間、PCが無防備な状態になるという問題があります。「エンドポイントプロテクション」は、入れ替え前のツールを削除する前にインストールしていただいてもまったく問題ありませんので、インストール後に以前のツールを削除することで、無防備な状態を作ることなく入れ替えが完了します。

インストールにかかる時間は、PCやソフトウェアのベンチマーク企業であるPassMark社のテスト結果で、他社の平均が98秒、「エンドポイントプロテクション」が33秒と報告されています。また、スキャン中はPCの動作が重くなることが多いため、従業員からのクレームに苦慮されたことのある方もいらっしゃると思います。どこまでをスキャンするのかによって数値は変わりますが、予約スキャンにかかった他社の平均時間は1,567秒、「エンドポイントプロテクション」は18秒でした。情報システム部門の方々にとって、PCの動作が遅い、重いというクレームへの対応はつらい業務の一つだとお聞きします。「遅い、重い」に対する業務部門の方々のストレスと、情報システム部門の方々のクレーム対応のストレス軽減にぜひご活用いただきたいと思います。さらに、定義ファイルの更新が不要なので、一度インストールしてしまえばあとの管理は自動です。ぜひ「エンドポイントプロテクション」を、情報システム部門の方々の負荷軽減のソリューションとしてもご活用ください。

ウェブルート株式会社 https://www.webroot.com/jp/ja
Carboniteのグループ会社であるウェブルートは、フルクラウドとAI / 機械学習を利用し、サイバー攻撃に対する信頼性の高い予測と保護をリアルタイムで提供しています。高速・最軽量を誇るエンドポイントプロテクション、100社以上のトップセキュリティベンダーが活用する脅威インテリジェンスサービスなどのセキュリティソリューションにより、世界中のエンタープライズ、中小企業、マネージドサービスプロバイダや個人のお客様を日々お守りしています。

(「SKYSEA Client View NEWS vol.69」 2019年11月掲載 / 2019年8月取材)
ページのトップへ