いとうクルーのブログ

株式会社いとうの社員ブログです。 長野市・上田市・松本市・南箕輪村・文京区本郷、それぞれの地域の社員が日替わりで更新します! お楽しみに(*^^)v

迷惑メール

【結論】UTM装置は必要でした。。。

たかむら@本郷三丁目です。

下記のウィルス付きSPAMは残念ながら当社のメールサーバで使っているClamavやSpamAssassinでは検出できずスルーしてしまいました。 原理的にはおそらくESET SMART Securityのようなウィルススキャンソフトでも通り抜けが発生するはずです。(その時点では)

UTMの位置

zerohourdetection




自社メールサーバもPCに導入しているウィルススキャンソフトも毎日数回ウィルスシグネチャー(指紋パターン)ファイルを自動的に取り込んで通過するメールのウィルスチェックを行っています。 しかし指紋データベースに登録され、その指紋データが自分の使っているメールサーバなり自分のPCのアンチウィルスソフトに取り込まれなければ、全く無力であり、すり抜けが発生します。これは原理上しかたのないことです。

それを解決する為の技術がVirus Outbreak Detection(VOD)です。

Virus Outbreak Detectionはベンダーによって様々な手法を組み合わせているようですが、どのベンダーも結果的に得られるものは指紋データベースに人力で登録される前に先回りしてSPAM/ウィルスを検知/排除することができると言うものです。

WatchGuardの場合はSPAM排除/ウィルス検知エンジンをCommtouch社から調達しており、Commtouch社のOutbreak Protectionの技術がポートされているようです。

ざっくりOutbreak Protectionの原理と働きを書くと

★世界中でリアルタイムに何百万ものメールから収集される類似パターンとリアルタイムに比較して迷惑メール/ウィルスメールらしさを即座に判定する。(人力で指紋データベースにウィルスパターンを登録したものをユーザに自動配布するものではない。)

★シグネチャーがデータベースに登録されるまでの数時間を埋めるものであり、従来方式であるシグネチャー照合方式(指紋照合方式)を否定するものではなく、機能を補完するものと言う位置づけのテクノロジー。

そんな訳でどんどん巧妙になってくるメールを媒体とした標的型攻撃への対応にはPCのウィルススキャンだけでは用が足りず、インターネットの出口とLANに接続するHUBの間に門番たるUTMが、それにこの様な状況がヒトゴトではなくまさにお客様自身の身近に迫っているということをお知らせするリテラシー教育と最新の情報盗難手口のお知らせの3つをセットにしてご提供しなければ、お客様の資産を守るお手伝いはできないと思う訳です。
 
P.S.
今売っているUTM装置ならどのベンダーのものでもふつうVOD機能は付いているはずですがご確認下さい。

UTMは必要か?

たかむらです。

UTMとはインターネットの出口であるブロードバンドルータとLANの間に設置して、LAN内のパソコンやサーバに存在するデータが盗まれる or 流出することを防ぐ装置です。

ちょっと前まではインターネット(外部)からの攻撃を防御するためにファイアーウォールがあれば良い・ブロードバンドルータが外部からの攻撃を防ぐのでルータ/ファイアウォールさえ有れば安心!と思われておりました。

最近のセキュリティ事故は外部からLANに向かっていきなり攻撃を仕掛けてくることは、インタネット上に置かれたメールサーバやWebサーバでもなければ殆どあり得ません。 ブロードバンドルータで接続拒否されてしまうからです。

じゃ、どうやって攻撃者はLAN内のPCやサーバのデータ、はたまたフィッシングサイトに誘導してクレジットカードや銀行口座の情報を盗むのでしょうか。

最近流行の手口は大きく分けて以下の3つです。

【1】
SPAMメールの中にフィッシングサイトのURLが書いてあって、そのメールを受け取った人を騙してクレジットカード番号や有効期限を入力させて盗む。

【2】
SPAMメールの中にPCを感染させるワームやウィルス付きのファイルをダウンロードさせるサイトのURLが書いてあって、そのファイルをダウンロードさせ、さらに開かせる(ワームの場合は実行させる)。

(最近では少なくなってきましたがSPAMメール自体にワームやウィルス付き書類を添付してくるものもまだまだ見受けられます。)

【3】
さまざまなサイトに侵入し仕込まれたワームやウィルス付きファイルをダウンロードさせるリンクを踏ませてPCを感染させて・・・以下2と同じ

その結果どうなるのかと言うと

そのPCが外部からの踏み台となってSPAMの発信源になったり、外部から勝手に当該PCを遠隔操作されてLAN内のサーバの情報やLAN内の他のPCの情報、もちろん自分自身のHDDの中身をごっそり盗まれたり、キーボードで入力された文字列を(例えばパスワードとか)をバックグランドで記録してどこかに送りつけるキーボード入力情報の盗難に遭ったりします。

-----

この頃のブラウザやOSは外部からダウンロードしたファイルを有無を言わさずすぐ実行させてしまうような仕掛けにはなっていませんので、実行する場合には「安全ではない可能性がある実行ファイルだが本当に実行しますか?」的なダイアログが出現しているのですが、ITリテラシのあまり高くないユーザはろくに確認もせず「はい」を押してしまって後の祭り状態になりがちです。

で、これらを防ぐには各人のPCにウィルス検知ソフトウェア・スパイウェア検知ソフトウェア・さらには危険なURLサイトチェックデータベースサービスを持ったサイト接続制限ソフトウェア・SPAM判定/排除機能を持ったソフトウェアなどが完備されてれば良いのです。

しかし確実なパターンファイルの更新や、OSやブラウザの脆弱性を塞ぐWindowsUpdateが確実に行われている前提があります。 それらをITリテラシレベルが様々なユーザ達に委ねると言う危険を多少でも減らすにはUTM(UnifiedThreat Management ゆにふぁいど・すれっと・まねじめんと 統合型脅威管理)が有った方が良いんじゃないか・・・と言うのが今現在の流行というか風潮なのです。

この世に絶対に安全と言うソリューションは有りません。しかしリスクを低減させるには各自のPCにウィルス/ワーム対策ソフトの導入の他に、UTMも合わせて導入をお客様にお薦めして、お客様の資源(情報やお金)を不埒な輩から守る手助けをする事も我々の使命かと思います。

プロフィール

いとうブログ管理人

QRコード
QRコード
  • ライブドアブログ