いとうクルーのブログ

株式会社いとうの社員ブログです。 長野市・上田市・松本市・南箕輪村・文京区本郷、それぞれの地域の社員が日替わりで更新します! お楽しみに(*^^)v

UTM

ITOH情報セキュリティNEWS

たかむらです。

随分更新をサボっておりました。。。w 

ScreenClip

日本郵政を騙り不正プログラムをインストールさせ、不正送金や情報漏洩を引き起こす原因となるウィルス(不正プログラム)を実行させようとする事案が、弊社のお客様でもちらほら聞かれます。

添付された書類を開いても表面上はなにも起こらないので、不正プラグラムを実行して感染してしまった事に気がついていない かたも多いのかもしれません。

報道などで話題になっていてもお客様はこれらの事実をご存じないと言う事もよく分かりました。

そこで当社のお客様向けに「 ITOH情報セキュリティNEWS」と称したメールニュースを随時お送りして、注意喚起を行い、お客様が事件に巻き込まれるのを少しでも減らそうと考えました。

「今さらまたメールニュースか・・・」と思われる方もいらっしゃるかも知れませんが、情報セキュリティ事件や事故のご案内をして啓蒙活動に勤める事はお客様をお守りする第一歩だと思います。

下記からご登録いただければ弊社とお取引いただいているお客様向けに、随時情報セキュリティ事件事故のお知らせやそれらに対する対策方法、対策ソフトウェアや機材などの情報をお送りします。どうぞご登録下さいませ。(無料です。)

 ITOH情報セキュリティNEWS申込
 

UTMとファイアウォールとは何が違うの?

たかむらです。

今さら聞けないシリーズです。(笑)

この頃の情報セキュリティ事件はいきなりお外からLAN内部に直接侵入行為を行うものは減っています。 と言うか原理上ブロードバンドルータやファイアウォールを乗り越えていきなり侵入するのは不可能に近いのです。

で、攻撃者達はどういう手口で侵入したり個人情報やインタネットバンキングのアクセス情報を盗むのかと言うと、LAN内部の社員メンバーがメールやWeb閲覧などでお外(インターネット)に出て行った時に持ち帰ってくる情報によろしくないデータやプログラム(ウィルスやウィルスをしかけるサイトURL)が付着してきて、それを実行またはプログラムの脆弱性により勝手に実行されて感染。 

その結果外部に漏らしたくない情報を自動的に送信されちゃったり、外部のコマンドサーバからの命令で勝手に操られちゃうようになりLAN内の他のコンピュータやサーバやら、もっと言うと知らぬうちに自社以外の別の組織のひとにウィルスを送りつける踏み台となって犯罪者の片棒を担がされて訴えられてしまう・・・なんてことが起こります。

平たく言うと 

★ファイアウォール=外からの攻撃を防ぐ製品

★UTM=外からの攻撃を防ぐと同時に、外から持ち込まれた情報(メールやWeb閲覧)の評価・ウィルスチェックをして情報浄化。 さらに組織内部から外部に出て行く情報を内容や接続先をチェックして、不審な外向き通信と判定された場合通信自体を遮断して情報漏洩を防ぐ製品

そんな訳でファイアウォールではこの頃主流になったサイバー攻撃は防げない為、ここ数年ファイアウォールの出荷金額は減少しており、代わりにUTMの出荷金額が激増しています。 

「マイナンバーにはファイアーウォールがある。年金番号のような失態にはならない」とおっしゃった大臣(※某有名大学出身)が居ましたが、このひと世の中でなにが起こっているかさっぱり分かってないのではないかと思われます。
 

【結論】UTM装置は必要でした。。。

たかむら@本郷三丁目です。

下記のウィルス付きSPAMは残念ながら当社のメールサーバで使っているClamavやSpamAssassinでは検出できずスルーしてしまいました。 原理的にはおそらくESET SMART Securityのようなウィルススキャンソフトでも通り抜けが発生するはずです。(その時点では)

UTMの位置

zerohourdetection




自社メールサーバもPCに導入しているウィルススキャンソフトも毎日数回ウィルスシグネチャー(指紋パターン)ファイルを自動的に取り込んで通過するメールのウィルスチェックを行っています。 しかし指紋データベースに登録され、その指紋データが自分の使っているメールサーバなり自分のPCのアンチウィルスソフトに取り込まれなければ、全く無力であり、すり抜けが発生します。これは原理上しかたのないことです。

それを解決する為の技術がVirus Outbreak Detection(VOD)です。

Virus Outbreak Detectionはベンダーによって様々な手法を組み合わせているようですが、どのベンダーも結果的に得られるものは指紋データベースに人力で登録される前に先回りしてSPAM/ウィルスを検知/排除することができると言うものです。

WatchGuardの場合はSPAM排除/ウィルス検知エンジンをCommtouch社から調達しており、Commtouch社のOutbreak Protectionの技術がポートされているようです。

ざっくりOutbreak Protectionの原理と働きを書くと

★世界中でリアルタイムに何百万ものメールから収集される類似パターンとリアルタイムに比較して迷惑メール/ウィルスメールらしさを即座に判定する。(人力で指紋データベースにウィルスパターンを登録したものをユーザに自動配布するものではない。)

★シグネチャーがデータベースに登録されるまでの数時間を埋めるものであり、従来方式であるシグネチャー照合方式(指紋照合方式)を否定するものではなく、機能を補完するものと言う位置づけのテクノロジー。

そんな訳でどんどん巧妙になってくるメールを媒体とした標的型攻撃への対応にはPCのウィルススキャンだけでは用が足りず、インターネットの出口とLANに接続するHUBの間に門番たるUTMが、それにこの様な状況がヒトゴトではなくまさにお客様自身の身近に迫っているということをお知らせするリテラシー教育と最新の情報盗難手口のお知らせの3つをセットにしてご提供しなければ、お客様の資産を守るお手伝いはできないと思う訳です。
 
P.S.
今売っているUTM装置ならどのベンダーのものでもふつうVOD機能は付いているはずですがご確認下さい。

UTMは必要か?

たかむらです。

UTMとはインターネットの出口であるブロードバンドルータとLANの間に設置して、LAN内のパソコンやサーバに存在するデータが盗まれる or 流出することを防ぐ装置です。

ちょっと前まではインターネット(外部)からの攻撃を防御するためにファイアーウォールがあれば良い・ブロードバンドルータが外部からの攻撃を防ぐのでルータ/ファイアウォールさえ有れば安心!と思われておりました。

最近のセキュリティ事故は外部からLANに向かっていきなり攻撃を仕掛けてくることは、インタネット上に置かれたメールサーバやWebサーバでもなければ殆どあり得ません。 ブロードバンドルータで接続拒否されてしまうからです。

じゃ、どうやって攻撃者はLAN内のPCやサーバのデータ、はたまたフィッシングサイトに誘導してクレジットカードや銀行口座の情報を盗むのでしょうか。

最近流行の手口は大きく分けて以下の3つです。

【1】
SPAMメールの中にフィッシングサイトのURLが書いてあって、そのメールを受け取った人を騙してクレジットカード番号や有効期限を入力させて盗む。

【2】
SPAMメールの中にPCを感染させるワームやウィルス付きのファイルをダウンロードさせるサイトのURLが書いてあって、そのファイルをダウンロードさせ、さらに開かせる(ワームの場合は実行させる)。

(最近では少なくなってきましたがSPAMメール自体にワームやウィルス付き書類を添付してくるものもまだまだ見受けられます。)

【3】
さまざまなサイトに侵入し仕込まれたワームやウィルス付きファイルをダウンロードさせるリンクを踏ませてPCを感染させて・・・以下2と同じ

その結果どうなるのかと言うと

そのPCが外部からの踏み台となってSPAMの発信源になったり、外部から勝手に当該PCを遠隔操作されてLAN内のサーバの情報やLAN内の他のPCの情報、もちろん自分自身のHDDの中身をごっそり盗まれたり、キーボードで入力された文字列を(例えばパスワードとか)をバックグランドで記録してどこかに送りつけるキーボード入力情報の盗難に遭ったりします。

-----

この頃のブラウザやOSは外部からダウンロードしたファイルを有無を言わさずすぐ実行させてしまうような仕掛けにはなっていませんので、実行する場合には「安全ではない可能性がある実行ファイルだが本当に実行しますか?」的なダイアログが出現しているのですが、ITリテラシのあまり高くないユーザはろくに確認もせず「はい」を押してしまって後の祭り状態になりがちです。

で、これらを防ぐには各人のPCにウィルス検知ソフトウェア・スパイウェア検知ソフトウェア・さらには危険なURLサイトチェックデータベースサービスを持ったサイト接続制限ソフトウェア・SPAM判定/排除機能を持ったソフトウェアなどが完備されてれば良いのです。

しかし確実なパターンファイルの更新や、OSやブラウザの脆弱性を塞ぐWindowsUpdateが確実に行われている前提があります。 それらをITリテラシレベルが様々なユーザ達に委ねると言う危険を多少でも減らすにはUTM(UnifiedThreat Management ゆにふぁいど・すれっと・まねじめんと 統合型脅威管理)が有った方が良いんじゃないか・・・と言うのが今現在の流行というか風潮なのです。

この世に絶対に安全と言うソリューションは有りません。しかしリスクを低減させるには各自のPCにウィルス/ワーム対策ソフトの導入の他に、UTMも合わせて導入をお客様にお薦めして、お客様の資源(情報やお金)を不埒な輩から守る手助けをする事も我々の使命かと思います。

プロフィール

いとうブログ管理人

QRコード
QRコード
  • ライブドアブログ