サイバー犯罪者はどのようにして企業インフラへ侵入するのでしょうか?映画で見かける「感染したUSBメモリをその辺に置いておく」仕掛けは現実世界でも見られますが、そうしょっちゅう起きることではありません。過去10年にわたり、脅威が運ばれる主な経路は、概してメールや悪意あるWebサイトでした。メールの場合、メールサーバーに適切なフィッシング対策とウイルス対策を施すことで、ほとんどの脅威を解消できます。これに比べ、Webを通じて侵入してくる脅威には、あまり注意を向けられないことが多いものです。
サイバー犯罪者は、あらゆる種類の攻撃でWebを利用してきました。オンラインサービスのログイン情報を盗むフィッシングページや、ブラウザーの脆弱性を利用する悪意あるWebページに限らず、特定のターゲットに向けた高度な攻撃でも、Web経由の脅威が利用されています。
標的型攻撃に見られるWeb経由の脅威
Securelistに掲載されているAPT関連の2019年振り返り(英語)では、水飲み場型攻撃を使ったAPT攻撃の例が取り上げられています。この攻撃では、インドの軍の研究機関であるCentre for Land Warfare Studies(CLAWS)のWebサイトに、システムへのリモートアクセスを助けるトロイの木馬をばらまく悪意ある文書が置かれていました。
数年前には、別の攻撃グループによるサプライチェーン攻撃の事例がありました。広く使われているソフトウェアの開発元のコンパイル環境に入り込んだ攻撃者が、悪意あるモジュールを埋め込んだのでした。こうしてマルウェアが埋め込まれたソフトウェアは、本物の電子署名がなされ、開発元の公式Webサイトから1か月にわたって配信されていました。
この2例は、APT攻撃で使われるWeb経由の脅威のメカニズムをよく示しています。サイバー犯罪者は、標的にした組織の社員が何に関心を持っているのかを調べ、その人たちが興味を持ちそうなWebサイトへのリンクを、メッセンジャーやSNSを通じて送りつけます。相手を信頼させるためにはソーシャルエンジニアリングが使われ、大きな効果を発揮します。
連携による総合的な保護
標的型攻撃に対する保護を向上させるには、企業ネットワーク内で起きるさまざまなイベントについて、Web経由の脅威を考慮する必要があります。今年提供開始となったKaspersky Web Traffic Security 6.1は、Kaspersky Anti Targeted Attack Platformに統合可能で、両ソリューションが連携することで補完し合い、企業ネットワーク全体の防御を強化します。
具体的には、Webゲートウェイを保護するKaspersky Web Traffic Securityと、標的型攻撃から保護するKaspersky Anti Targeted Attack Platformの間で、双方向通信を構成できるようになりました。ゲートウェイ側のKaspersky Web Traffic Securityは、疑わしいコンテンツをKaspersky Anti Targeted Attack Platformへ送り、詳細な動的分析を任せます。ゲートウェイという追加の情報源を得たKaspersky Anti-Targeted Attack Platformは、複合的な攻撃のファイルコンポーネントを早期に検知し、マルウェアと指令サーバーとの通信を遮断することができます。このような連携が、標的型攻撃の妨害を可能にします。
保護の連携は、メールサーバーも含めた全レベルに実装可能です。実装に当たっては、Kaspersky Anti Targeted Attack Platformが、ワークステーションとサーバー(物理または仮想)からだけでなく、メールサーバーからのデータも受信して分析するように設定します。脅威が検知された場合、分析結果はKaspersky Web Traffic Securityに転送されます。この情報に基づいて、ゲートウェイレベルで類似のオブジェクトを自動的にブロック、さらには、こうしたオブジェクトからの指令サーバーとの通信の試みも自動ブロック可能です。
Kaspersky Web Traffic Securityの詳細については、こちらのページをご覧ください。