ITセキュリティ女子のブログ

ITセキュリティ女子のブログ>マルウェア対策の「ウソ」「ホント」

  • エンドポイントセキュリティ
  • テレワーク
2020.09.14

マルウェア対策の「ウソ」「ホント」

マルウェア対策の「ウソ」「ホント」

みなさんこんにちは。長谷川まりです。

WannaCry、Emotet、Trickbotなど、新しい攻撃手法を備えたマルウェアは次々に登場します。今回はしっかりと対策をするために、押さえておきたいマルウェア対策のウソとホントについてご紹介します。

自社は標的にならない、は「ウソ」

自社は特別な組織でないから、標的にはならないというのは「ウソ」です。マルウェアによる攻撃は、誰でもどこからでも金銭が入れば良い「ばらまき型」タイプがあります。攻撃者はどうにかマルウェア作成コストを回収すべく、金銭目的で広く執拗に攻撃を仕掛けてくることがありますので、注意が必要です。

攻撃タイプ ターゲット 目的 攻撃方法
標的型攻撃 特定企業・団体 金銭+アルファ インフラ、人、全ての脆弱性を調査し、実在する人物になりすまして攻撃を実施。
ばらまき型攻撃 脆弱性があれば誰でも 金銭 実際の企業名や業務を装い、いかにもありそうなメールで攻撃を実施。

未知のマルウェアだから怖い、は「ウソ」

新しいマルウェアの脅威がニュースで報じられ、対策ソフトのサポートに問い合わせをしたら、パターンファイルは対応済みだったことはありませんか。未知のマルウェアだと思ったら、対策ソフトの開発元にとっては既知のマルウェアだったということです。同じマルウェアでも、立場によって既知と未知の認識にはズレがあり、しかも殆どのマルウェアは攻撃者に「使い捨て」されるとも言われていますので、あまり未知や既知という言葉には囚われず、対応したその瞬間から次の脅威に備えないといけないですね。


脆弱性の対応とパターンファイルの早期適用が大事は「ホント」

マルウェア対策の基本は、下の図のように、まずは脆弱性の対応と、パターンファイルの早期適用の2つです。脆弱性の対応とは、OSパッチの適用やOfficeのマクロの自動実行を無効化すること、使用しない場合にPowerShellを無効化するといったことで、パターンファイル未対応のマルウェアへの感染リスクを低く抑えられるメリットがあります。また、パターンファイルの早期適用のメリットは、感染の恐れのある期間を少しでも短くできることです。

ただ、それでも危険な期間は発生してしまうため、パターンファイル適用が不要のEPP(Endpoint Protection Platform)と呼ばれる機械学習を用いた対策に乗り換えることも有効です。パターンマッチングの完全撤廃が不安であれば、EPPとパターンマッチングの共存も可能です。


トピック:テレワークではパターンファイル更新の運用にご注意を

テレワークではパターンファイル更新の運用に課題があります。

(課題)

  • 普段ネットワークに接続しないモバイルPCのパターンファイルが古いまま。
  • スケジュールでパターンファイルを自動更新するが、該当時間にPCが起動されていない。
  • 社内ネットワークのパターンファイル更新用サーバに接続させたいが、接続を強制できていない。
  • インターネットで直接メーカサイトから更新する運用。業務に関係のないインターネット接続が行われてしまう。

これらの課題にもパターンファイル更新に依存しない機械学習型のEPPが有効です。上述したように、既存のパターンファイル型の対策製品と並行稼働しながらの段階的移行も可能です。

またテレワークでは、社内のネットワークへの接続にVPNを経由させることが多いと思います。パターンファイルの更新サーバが社内外どちらにあっても、VPN接続をシステム的に強制しつつ、パターンファイル更新サイトが社外ならば特定サイトとして除外できるなど、強制と除外の柔軟な運用が出来ると良いかもしれません。


まとめ

  • マルウェアを使った攻撃には、標的型だけでなくばらまき型にも注意。
  • 未知のマルウェアでも立場や対策フェーズによっては既知。呼ばれ方に囚われず、対策はしっかりと。
  • 対策は、脆弱性の対応とパターンファイルの早期適用が基本。テレワークでは運用に注意。
  • パターンファイルを使用しないEPPと言われる機械学習型の対策もお奨め

アシストではEPP製品としてCylancePROTECTをご紹介しています。製品のメリット、デメリット、適用方法などを詳しく知りたい場合は、下記よりお気軽にご相談ください。

また、脆弱性管理の製品としてTenableもご紹介しています。Tenable製品紹介のリンクからご参照ください。

長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • エンドポイントセキュリティ
2020.09.29

ゼロトラストとは?ゼロトラストの意味と実現イメージ

セキュリティ対策を考える時に、「ゼロトラスト」という言葉を頻繁に聞くようになりました。ただ、「ゼロトラスト」の意味はベンダーによって解釈が様々で、わかりにくいところがあるかと思います。今回は、その意味と実現イメージについて、改めて解説します。

  • エンドポイントセキュリティ
  • テレワーク
2020.07.28

テレワークの脅威をもう一度おさらい!~VPNサーバと端末編~

テレワークの実施に、否応なくついて回るセキュリティ対策。具体的にはどんな脅威が潜んでいて、どんな対策が考えられるのでしょう。今回は、テレワークで使われるVPNサーバと端末に注目し、4つの脅威と対策を解説します。

  • エンドポイントセキュリティ
  • テレワーク
2020.07.03

Office 365やWeb会議が遅い、重い…テレワークで注目されるインターネットブレイクアウトと解決すべき3つの課題

VPNの通信が遅い、すぐに切れてしまう、といった課題に、VPNのインターネットブレイクアウトが注目されています。ただしVPN製品だけでそれをクリアするのは難しいことも。今回はその課題と実現方法についてご紹介します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

ページの先頭へ戻る