マルウェアの動向をプロアクティブなアクションに生かす

avatar

 2018.12.24  Japanブログ編集部

マルウェアが増加傾向にあることについては、ほとんどの業界が同意しています。インシデントがヘッドラインを飾ることなく一週間が過ぎることはまずありません。以下は、最近私が目にしたニュースです。

  • オンラインショップのNeweggは、最近Ticketmasterおよび英国航空へのハッキングに関与した犯罪者の手によるデータ侵害の被害を受けた。

  • 捜査当局は、Nova Scotia Business Inc.のWebサイトが、2012年にマルウェアに感染していたことを明らかにした。2018年4月にも、Webサイト上に保存されたデータへの不審なアクセスが認められたものの、個人情報の流出はないと発表されている。

  • 欧州刑事警察機構(ユーロポール)が公開した、2018年の組織犯罪報告書は、標的型攻撃や国家主導の攻撃の増加を受けて、ランサムウェアが「法執行機関と産業界の両方において、引き続き主要なマルウェアである」と警告している。

たしかに、重大な侵害の詳細を説明する大量のレポートを多数の大企業が公表しています。また、マルウェアサンプルの数が増加の一途をたどっているという調査報告も多く見受けられます。しかし、報道だけから全容を把握することは難しいものです。

それでは、マルウェアの動向に関するレポートをどのように取り込めば、プロアクティブなセキュリティ対策の推進に役立つような重要な事実を得ることができるでしょうか。レポートの内容は次のように分類することができます。理解しやすいもの。理に適っているもの。実践的な方法で防御力を強化する機会を提供するもの。

たとえば、International Journal of Pure and Applied Mathematics(基礎・応用数学国際ジャーナル)およびTrend Microによるマルウェアトレンドレポートを参考にしてみましょう。どちらも、マルウェアの変種が増加していることを明らかにしています。攻撃に成功したマルウェアの新しいバージョンを作れば、簡単に有効な攻撃を行えます。また、既存のマルウェアに小さな変更を加えるだけで、検出を回避できる可能性が高まるでしょう。これは理に適っています。

データの詐取を企てる犯人が、イチからマルウェアを作成するより、楽に変種を作成するほうを選ぶのは合理的です。結局、ソフトウェア業界は、どこもコードの再利用を行うものなのです。マルウェアのこのような側面を理解できたら、セキュリティ態勢の向上のために、どのような手段を講じることができるかを考える必要があります。

ここで役に立つのがFIMです。アンチウイルス製品の更新ファイルに、最新のマルウェアやその変種がカバーされていないケースについて考えてみましょう。そのようなときでも、重要なファイルを注視し続けるFIMの機能を、脅威の検出に役立てることができます。FIMの目的は、侵入しようとする泥棒を警戒することではありません。

私はよく、アンチウイルスやファイアウォールの保護機能を、警備員を巡回させてビルを守ることになぞらえます。彼らは入口で醜悪な風貌の男を取り押さたり、何かを奪って逃げようとしている怪しい泥棒を捕まえるでしょう。しかし、その場で犯罪者だと気づかなければ、犯人らは一体何をしようとしていたのか、あるいは何を奪って逃げたのか、といったことを知ることは難しくなります。

一方、FIMは、セキュリティカメラのようなものです。カメラは注意深く監視を行い、何か問題が起きれば、そこで得られた証拠を利用して、問題を修正したり、再発を防ぐことができます。バックアップから復元するか、あるいは新しい予防策を講じるかは、どのようなマルウェアが、どのようにシステムに影響を与えたかによって異なります。

侵害に関する情報を詳しくかつタイムリーに公開することを企業に求める法的圧力が強まるなか、FIMには、最悪のケースが起きた場合にも企業の評判を守る潜在的な力があります。過去数年の深刻なマルウェアインシデントの増加を目の当たりにして、重要なのは問題が「発生したかどうか」ではなく、「いつ発生したのか」であることに多くの人々が気づき始めています。FIMはまた、脅威をその場で阻止するために必要なツールも提供します。

Tripwire Malware Detectionは、中核となるFIM、SCMおよびTripwire Enterprise基本的なコントロールを補完します。こちらからデータシートをダウンロードして、Tripwire Malware Detectionが、どのように既知の脅威やゼロデイエクスプロイトを防御したり、すべての監視対象システム内の不審なマルウェアオブジェクトを全社的なビューで表示したり、あるいは既知のマルウェアを追跡することで攻撃の再発を防いだりしているかをご覧ください。

SANS:基本への回帰

RECOMMEND関連記事


この記事が気に入ったらいいねしよう!