いとうクルーのブログ

株式会社いとうの社員ブログです。 長野市・上田市・松本市・南箕輪村・文京区本郷、それぞれの地域の社員が日替わりで更新します! お楽しみに(*^^)v

ウィルス

UTMとファイアウォールとは何が違うの?

たかむらです。

今さら聞けないシリーズです。(笑)

この頃の情報セキュリティ事件はいきなりお外からLAN内部に直接侵入行為を行うものは減っています。 と言うか原理上ブロードバンドルータやファイアウォールを乗り越えていきなり侵入するのは不可能に近いのです。

で、攻撃者達はどういう手口で侵入したり個人情報やインタネットバンキングのアクセス情報を盗むのかと言うと、LAN内部の社員メンバーがメールやWeb閲覧などでお外(インターネット)に出て行った時に持ち帰ってくる情報によろしくないデータやプログラム(ウィルスやウィルスをしかけるサイトURL)が付着してきて、それを実行またはプログラムの脆弱性により勝手に実行されて感染。 

その結果外部に漏らしたくない情報を自動的に送信されちゃったり、外部のコマンドサーバからの命令で勝手に操られちゃうようになりLAN内の他のコンピュータやサーバやら、もっと言うと知らぬうちに自社以外の別の組織のひとにウィルスを送りつける踏み台となって犯罪者の片棒を担がされて訴えられてしまう・・・なんてことが起こります。

平たく言うと 

★ファイアウォール=外からの攻撃を防ぐ製品

★UTM=外からの攻撃を防ぐと同時に、外から持ち込まれた情報(メールやWeb閲覧)の評価・ウィルスチェックをして情報浄化。 さらに組織内部から外部に出て行く情報を内容や接続先をチェックして、不審な外向き通信と判定された場合通信自体を遮断して情報漏洩を防ぐ製品

そんな訳でファイアウォールではこの頃主流になったサイバー攻撃は防げない為、ここ数年ファイアウォールの出荷金額は減少しており、代わりにUTMの出荷金額が激増しています。 

「マイナンバーにはファイアーウォールがある。年金番号のような失態にはならない」とおっしゃった大臣(※某有名大学出身)が居ましたが、このひと世の中でなにが起こっているかさっぱり分かってないのではないかと思われます。
 

ウィルススキャンソフトに引っかからないウィルス付メール

たかむらです。

2月6日~2月21日の間に自分を含む4メールアドレス宛に配送されてきたメールで、メールサーバのウィルススキャンに引っかからず、WatchGuard(UTM)のヒューリスティックスキャン(振る舞い検知)で捕捉・無効化されたものを集計してみました。

Cause : The message contains a virus.
Content type : text/plain
File name    : (none)
Virus status : Zero-Hour Detection: [3] Virus threat HIGH.
Action       : The Firebox deleted (none).
Recovery     : cannot restore

To:
hogehoge1@itoh.co.jp 11
hogehoge2@itoh.co.jp 9
hogehoge3@itoh.co.jp 9
hogehoge4@itoh.co.jp 3

と合計32通ものメールがメールサーバのウィルスチェックをくぐり抜けていました。(当社のメールサーバは2時間おきにウィルスパターンファイルの更新を行っています。)

もちろんこれもタイミングの問題で各々のPCにあるウィルスチェックでは捕捉されたかもしれません。(検出されないかもしれませんが。)

要はウィルス対策ソフトベンダさんがウィルスの検体を集めてパターンファイル(シグネチャーファイル・指名手配書)を配布完了し、各PCが自動的にそのパターンファイルを有効にする前に拡散して感染させ、PCを乗っ取ると言う昨今流行のサイバー攻撃そのものがこのゼロアワーアタックなのです。

もう以前のように一日2~3度のパターンファイル更新しかできないようなソフトでは用が足りないと言う実例でした。

「大企業や有名な会社じゃないからウチみたいな中小企業はサイバー攻撃なんて関係無い!」と何の根拠の無い妙な自信をもった世の社長さんがたにこの事実を知っていただきたいと思います。 



 

【結論】UTM装置は必要でした。。。

たかむら@本郷三丁目です。

下記のウィルス付きSPAMは残念ながら当社のメールサーバで使っているClamavやSpamAssassinでは検出できずスルーしてしまいました。 原理的にはおそらくESET SMART Securityのようなウィルススキャンソフトでも通り抜けが発生するはずです。(その時点では)

UTMの位置

zerohourdetection




自社メールサーバもPCに導入しているウィルススキャンソフトも毎日数回ウィルスシグネチャー(指紋パターン)ファイルを自動的に取り込んで通過するメールのウィルスチェックを行っています。 しかし指紋データベースに登録され、その指紋データが自分の使っているメールサーバなり自分のPCのアンチウィルスソフトに取り込まれなければ、全く無力であり、すり抜けが発生します。これは原理上しかたのないことです。

それを解決する為の技術がVirus Outbreak Detection(VOD)です。

Virus Outbreak Detectionはベンダーによって様々な手法を組み合わせているようですが、どのベンダーも結果的に得られるものは指紋データベースに人力で登録される前に先回りしてSPAM/ウィルスを検知/排除することができると言うものです。

WatchGuardの場合はSPAM排除/ウィルス検知エンジンをCommtouch社から調達しており、Commtouch社のOutbreak Protectionの技術がポートされているようです。

ざっくりOutbreak Protectionの原理と働きを書くと

★世界中でリアルタイムに何百万ものメールから収集される類似パターンとリアルタイムに比較して迷惑メール/ウィルスメールらしさを即座に判定する。(人力で指紋データベースにウィルスパターンを登録したものをユーザに自動配布するものではない。)

★シグネチャーがデータベースに登録されるまでの数時間を埋めるものであり、従来方式であるシグネチャー照合方式(指紋照合方式)を否定するものではなく、機能を補完するものと言う位置づけのテクノロジー。

そんな訳でどんどん巧妙になってくるメールを媒体とした標的型攻撃への対応にはPCのウィルススキャンだけでは用が足りず、インターネットの出口とLANに接続するHUBの間に門番たるUTMが、それにこの様な状況がヒトゴトではなくまさにお客様自身の身近に迫っているということをお知らせするリテラシー教育と最新の情報盗難手口のお知らせの3つをセットにしてご提供しなければ、お客様の資産を守るお手伝いはできないと思う訳です。
 
P.S.
今売っているUTM装置ならどのベンダーのものでもふつうVOD機能は付いているはずですがご確認下さい。

プロフィール

いとうブログ管理人

QRコード
QRコード
  • ライブドアブログ