【マルウェア対策】ゲートウェイで防御不能な3つの侵入ケース

相次ぐ標的型（サイバー）攻撃をきっかけに、ゲートウェイで、マルウェアの組織内侵入の防止策を採る企業が増えました。しかし、攻撃被害のニュースが絶えないのはなぜなのでしょう。
見落としがちな3つのマルウェア侵入ケースと、多層防御としてのエンドポイント・セキュリティの期待効果について解説します。

[1] [2]

ゲートウェイ対策で防ぎきれない3つの侵入ケース

標的型攻撃は日々その手法を巧妙化し、マルウェアの亜種も増え続けています。
次のケースは、ゲートウェイで対策をしていても、組織内への侵入を許してしまう代表的なケースです。

侵入ケース1

標的型攻撃において、しばしば悪用されるメールの添付ファイル。この添付ファイルがパスワード付きで暗号化されていると、ゲートウェイでは検知できず、マルウェアがすり抜けてしまうことがあります。

攻撃者も心得ており、セキュリティ対策製品による検知を見越して、攻撃時はパスワード付きの「zip」や「lzh」などを用いて圧縮し、侵入してくるケースが多くあります。

侵入ケース2

ゲートウェイ対策製品では、サンドボックスと呼ばれる仮想環境でプログラムを実行検証し、マルウェアと判断した上で駆除する機能を持つものがあります。

ですが、マルウェアの中には、サンドボックス空間を巧妙に認識し、自らがマルウェアであることを隠すために実行を拒否したり、本来の目的とは異なる振る舞いで誤魔化し、検証の手を逃れて組織内に侵入してくるものがあります。

侵入ケース3

ゲートウェイ対策製品では、攻撃者とマルウェアとの通信拠点であるC&Cサーバ通信をチェックする機能を持つものがあります。これによりマルウェア存在の疑いを検知しますが、その精度はまちまち。

これらのグレーゾーンな通信アラートの判断や対応はどうしたらいいでしょう。もし、対応に慎重さが求められ、専門家へ判断を委ねなければならない場合、数が増えてくると手が回らず、結果的に組織内への侵入拡大を許してしまう事態が発生しかねません。

日々巧妙さを増す攻撃への対策に多層防御が重要と言われているのは、ゲートウェイ対策で100％の侵入防止ができないからです。組織内に侵入してきたマルウェアから攻撃を守るには、ゲートウェイ対策とともに、次の一手が必ず必要となります。

[1] [2]