次世代ファイアウォールによるボットネット制御パロアルトネットワークス合同会社 www.paloaltonetworks.jp 目次概要 ............................................................................................................................................. 3 ボットネットとその特徴 ................................................................................................................... 3 エンタープライズへの脅威 ............................................................................................................. 4 スパムボットネット (Spamming Botnets) .................................................................................... 4 DDoS とボットネット ................................................................................................................... 5 金融ボットネット ......................................................................................................................... 5 ターゲット侵入 ........................................................................................................................... 5 業界はボットネットに対して何をしているか？ .................................................................................. 6 トップダウンモデルが企業を防御できないのはなぜか？ ................................................................. 7 ボットネットから企業を防衛するモデル提案 .................................................................................... 8 次世代ファイアウォールの導入 .................................................................................................. 8 ボットネット感染の防御 .................................................................................................................. 9 攻撃面の縮小 ........................................................................................................................... 9 まとめ - 攻撃面の縮小........................................................................................................ 10 未知の通信を分析 .................................................................................................................. 10 まとめ - 未知の通信を分析................................................................................................. 11 有効化アプリケーションの制御 ................................................................................................. 11 SSL への移行 ..................................................................................................................... 12 まとめ - 有効化アプリケーションの制御 ........................................................................... 14 回避アプリ使用の防止............................................................................................................. 14 まとめ - 回避ツールの制御................................................................................................. 16 リモートユーザの保護 .............................................................................................................. 16 感染ホストの検知 ....................................................................................................................... 17 指揮管制トラフィックの検知 ...................................................................................................... 17 ボットネット検出への IPS 活用 ................................................................................................. 17 ボットネット行動レポート........................................................................................................... 17 推奨事項のまとめ ....................................................................................................................... 18 ポジティブコントロール確立と未知の通信分析 .......................................................................... 18 有効化アプリケーションの制御 ................................................................................................. 18 回避ツールの制御................................................................................................................... 19 リモートユーザの保護 .............................................................................................................. 19 感染ホストの検知 .................................................................................................................... 19 まとめ ......................................................................................................................................... 19 © 2010 Palo Alto Networks Page 2 概要ボットネットおよび近年のマルウェアの増加は脅威の情勢に新たな局面を開き、企業における防御方法の見直しを余儀なくさせています。これら最近の脅威は、従来のマルウェア対策を凌駕し、犯罪者や国家が情報搾取や重要情報への攻撃に使うことのできる踏み台を企業内に確立しています。本文書は 2 つのセクションに分かれており、最初のセクションではボットネットの概要とその動作、およびこれまでのセキュリティ業界（以下、業界）の反応を再考察します。2 つ目のセクションでは次世代ファイアウォールの機能を使って企業がボットネットから積極的に防御できるモデルを紹介します。ボットネットとその特徴企業の情報セキュリティ部門は 20 年以上にわたり、さまざまな種類のマルウェアと闘ってきました。しかし苦労して得た経験のすべてが必ずしも企業の闘いを勝利に導いたわけではありません。最近の研究でその問題原因が発見されました。2009 年の Cyveillance の研究では、平均するとインターネット上で活動のあったマルウェアの半分は業界のマルウェア対策ソリューションでは検出されず、2010 年の NSS Labs の研究ではマルウェアの 53%のみがダウンロード時に検出されただけだったことが分かりました。これは変異や従来のマルウェアシグネチャによる検出回避のため更新されうるというマルウェアの進化が大きな原因です。ボット (個々の感染したコンピュータ) やボットネット (連係するボットの広範ネットワーク) は、このようなポリモーフィック型 (感染のたびに異なる姿になる) マルウェアの進化において重要な役割を果たし、従来のウイルス対策／マルウェア対策ソリューションで検知するのは難しいことで有名です。このように、前世代と大きく異なるマルウェアからボットネットが生成されることと、それら制御の徹底がどう影響するか、ということを理解することは重要です。分かりにくいかもしれませんが、重要な区別は「ボットネット」という名前で明らかになります。文字通り、ボットネットはボット (感染したコンピュータ) のネットワークです。程度の差はあるものの独立したエージェントが群がる従来のマルウェアと異なり、ボットは中央組織化され外部世界への通信チャネルを保持します。インターネットがパーソナルコンピュータの可能性を変えたのと同じような方法で、ボットネットはマルウェアの世界の可能性を変えています。現在、同じ種類のマルウェアはすべて、感染した複数のコンピュータを使ってボットネット全体の能力を増強させ、共通ゴールに向かって連動させることができます。ボットネットは新たなゴールの追究や、セキュリティ対策の変化に適応するよう進化できます。ボットネットの最重要かつ特有の機能特性を以下に記します。 © 2010 Palo Alto Networks Page 3 分散型、フォルトトレラント：ボットネットはインターネットに組み込まれた耐障害性を最大限に活用するマルウェアです。ボットネットは複数の代替システムを備え、世界中に分散された複数の制御サーバを持ちます。ボットはアクセスオプションの変更に適応するよう無限に近い通信パスを備え、通信チャネルとして感染した他のボットを利用することもあります。多機能：指揮管制サーバからのアップデートによってボットの機能を完全に変えることができます。この機能はボットネット所有者に対して新たな経済的アプローチを可能にし、あるボットネットセグメントではスパムメールを送信させ、一部のボットネットではクレジットカード番号の収集といった特定目的のために利用できるようになります。機能は必要に応じて後でいつでも変更できるため、感染が最重要手順であるということが重要なポイントです。持続性と知性：ボットは検出しづらく、簡単に機能を変更できることを考えると、標的を定めた長期的なネットワーク侵入に適しています。ボットは遠隔知能の制御下にあるため、ボットネットは悪意ある実行ファイルではなく、ネットワーク内部に悪意あるハッカーがいるようなものです。たとえば、ネットワーク構成について調査し、攻撃ターゲットを探し、万一ボットが検出されてしまったときに備えてネットワーク内に追加のバックドアを仕掛けるためにボットが使われます。エンタープライズへの脅威その柔軟性と防御回避能力を考えると、企業においてボットネットは途方もないリスクとなります。ボットネットはスパム送信から機密情報および企業秘密の窃盗に至るまで、その機能に関して実質的に無制限です。ボットネットの最終的な影響は、ほぼボットネット運用者に委ねられており、今日スパムを送信したノードは明日クレジットカード情報を盗むこともできます。ここでは注目すべきボットネットのいくつかの種類をまとめ、有名なボットネットの例をいくつか紹介します。スパムボットネット (Spamming Botnets) 巨大ボットネットの多くはスパムメール送信専用です。考え方はとても単純です。ボットネット運用者 (1 人または複数人でボットネットを遠隔操作) は大量のスパムメッセージ送信を所有者に知られずに行えるよう、できるだけ多くのエンドポイントを感染させようと試みます。企業において、この種のボットに対する相対的影響度は当初は低いものでしょう。スパムを送信する感染ユーザは企業ネットワークの帯域消費を増やし、最終的にユーザの生産性とともにネットワーク自体の生産性も落とします。このような企業はスパム送信組織として登録されやすくもなり、最終的に企業の適格メールがスパムとして見なされる可能性があります。ボット感染したパソコンのリスクはボットネット自体の機能を超える場合があります。感染したパソコンは悪用する新たなターゲットを見つけ拡散するため、企業ネットワークへのバックドアと侵入地点を仕 © 2010 Palo Alto Networks Page 4 掛けます。こうした背景から、どんなボットネットも楽観してはなりません。つまり、悪意のない感染ホストなどというものはないのです。例: Rustock DDoS とボットネットスパムのボットネットモデルに若干ひねりを加えると、多数のエンドポイントからのトラフィックを使ってターゲットシステムを忙殺させる DDoS (分散型サービス拒否攻撃) の一部としてボットを利用できます。この場合、感染クライアントが存在する企業はほとんどの場合攻撃そのものの対象ではなく、単純にトラフィックを使ってリモートターゲットの負荷を飽和させるために感染ホストが使われます。繰り返しになりますが、ボットネット所有者（ボットネットの制御者）は大規模ボットネットの力を活用し、ターゲットのリソースを圧倒するトラフィック量を生成します。これら DDoS 攻撃は多くの場合、個人的、政治的な理由のいずれかにより特定企業を標的とするか、DDoS 攻撃を停止する見返りにターゲットから金銭を強要します。DDoS 攻撃は企業にとって二重のリスクを抱えます。企業そのものがダウンタイムや生産性損失をもたらす DDoS 攻撃のターゲットとなる可能性があるのと、企業が最終ターゲットとならなくても、攻撃に参加する感染ユーザは不注意に犯罪加担しながら貴重なネットワークリソースを消費することもあります。例: Skunkx 金融ボットネット金融ボットネットは、市場で発生した被害が甚大であったためにマスコミで広く報道がありました。 ZeuS や SpyEye のような銀行ボットネットはあらゆる企業からの直接的な資金窃盗に関与しています。1 人の所有者のためにできるだけ大きくなるスパムボットネットに比べると、これらのボットネットは大きくなく完全に統制されてもいません。その代わり、銀行ボットネットは多数の攻撃者にコードのライセンスを与え、ボットネットやターゲットを構成できるキットとして販売されています。規模が小さくても、これらボットネットの影響は甚大です。ZeuS ボットネットは非常に短い時間で繰り返し企業から数百万ドルを盗むことができました。他の金融ボットネットはクレジットカード情報の搾取や自動決済の銀行送金の捏造に尽力します。金融妨害の影響は企業にとって計り知れません。顧客クレジットカード情報の侵害は企業にとって深刻な金銭的、法律的、ブランドの損害につながります。さらに人事、財務、会計部署が感染した場合、企業は取り返しのつかない金銭を瞬時に失う可能性があります。例: Zeus, SpyEye ターゲット侵入ボットネットはターゲットを絞った高度な継続的攻撃の重要機能でもあります。これらの種類のボットネットは、大規模ボットネットとは大きく異なります。大規模攻撃を実施すべく多数のユーザに感染しようとする代わりに、これら小規模ボットネットは重要度の高いコンピュータに感染することを狙っており、このコンピュータは後から標的ネットワークへの侵入や偵察に利用されます。この場合、保護されたシステムへのアクセス権を得て侵入経路が見つかった場合、ネットワークにバックドアを作成するために感染コンピュータが利用されます。これらの脅威はウイルス対策ベンダにとってほとんど毎回未知のものです。研究開発、ソースコード、プランニングデータ、財務データ、顧客リストなどといった企業において最も価値の高い情報を明確な標的とするという点では、企業に対して最も危険な脅威の一つであることを表します。これらの脅威は計画的であり、企業の最重要資産を対象としているため、企業にとって最も危険なボットネットの一つであるといえます。例: Aurora © 2010 Palo Alto Networks Page 5 業界はボットネットに対して何をしているか？ボットのネットの激増は業界では見過ごされておらず、最大規模かつ最も悪名高いボットネットに対して行動を起こそうと大企業は司法当局と手を組み始めています。目的は中枢部（指揮管制サーバ）からボット（感染したコンピュータ）を分離することです。ボットが制御サーバに到達できなければ新しい命令を得ることができず、ボットネットを特殊で危険なものにするデータなどをアップロードできません。ボットネットの “撲滅 (decapitation)” と呼ばれる一般的なアプローチを考えることができます。この戦略は単純に見えるかもしれませんが、現実にはセキュリティ研究者と捜査当局との間で膨大な量の調査、ノウハウ、調整が必要となります。指揮管制サーバの無効化は物理的なサーバの押収だけでなく、サーバに関連するドメイン名や IP アドレス範囲の所有権を得る必要があります。これにはボットネット無効化を望む技術部門、法務部門、捜査当局の間で緊密な連携が求められます。問題をさらに深刻化するのは、ボットネットは通常単一のサーバに依存するのではなく、冗長性を確保するため複数の指揮管制サーバを持つことです。さらに各サーバは通常、その本当の場所を隠すため、さまざまな仲介者により途絶されています。これらの仲介者にはピアツーピアネットワーク、ブログまたはソーシャルネットワーキング (SNS) サイト、さらに他の感染したボットを介してプロキシされた通信を含みます。単純に指揮管制サーバを探すのは時間と詳細な技術調査が必要となり、かなり困難であるといえます。さらに悪いことに、ほとんどのボットネットは指揮管制サーバの喪失に耐えるよう設計されており、一度にすべての指揮管制オプションを無効にする必要があるのです。いずれかの指揮管制サーバへアクセス可能な場合、またはフォールバック（代替システム使用）が成功した場合、ボットは更新プログラムを入手し、新規サーバ情報を読込み、即座に回復することが可能です。これは、ほぼ同時にサーバ群を取り除く必要があることを意味します。ボットネット所有者は攻撃を受けていることを察知するとすぐに新たなインフラへ移動しようとします。したがってほんの短い時間、サーバが 1 台残っているだけでも、ボット所有者に対してボットを更新しボットネット全体を回復する余地を与えてしまうのです。詳細調査では指揮管制分散環境とマッピングする必要がある。このアプローチに対するさまざまな課題にも関わらず、業界では非常に一貫性ある、注目を浴びた成功例があります。2011 年 3 月に Microsoft が業界のリーダと協力して作業し、FBI は無事に Rustock ボットネットを撲滅することができました。Rustock ボットネットは 5 年以上にわたり展開し、スパムメールを全世界の最大 60%送信することに関与していました。 © 2010 Palo Alto Networks Page 6 トップダウンモデルが企業を防御できないのはなぜか？上記モデルは最大規模かつ悪名高いボットネットへの業界の有効な対応を示しており、これら活動を先導する企業は当然にその活動を称賛されるべきです。しかし、これらの取り組みは広範なインターネット全体の視点では良いものの、ボットネットが個々の企業にもたらす脅威を軽減するのにほとんど効果がないということを理解するのもセキュリティ専門家として同様に重要なことです。明確な限界として、トップダウンモデルでは信じられないほど多くの時間と労力がかかるため、最大規模で悪名高いボットネットのみが対象となるわけです。かなり多くの過程が受動的になり、場合によっては終了まで数年かかってしまいます。企業のセキュリティニーズはそれより明らかに緊急であり、第一地点への侵入や脆弱性攻撃を成功させないようにする必要があります。本質的には、ボットネットを停止させるのを業界に頼ることは、会社がたった今泥棒に押し入られているのに政府が法律を制定するのを待っていることに似ています。また、業界の活動は通常最大規模のもの、または悪名高いスパマーのボットネットに対して重点的に取り組んでいます。ネットワーク上のどのようなボットもリスクを生じますが、これらスパムボットネットは特定企業をターゲットにしていないということで重要ではなく、単により多くのスパムを送信できるように複数のホストを探しています。攻撃者が企業ネットワークへの侵入や情報搾取を行う場合、マルウェアはほとんどの場合相当カスタマイズされていて、サイズが小さく、検知するのが非常に困難です。これら小さなボットネットは業界には完全に未知である可能性が高く、業界によって除去される対象としてほとんど注目されません。繰り返しますが、上記業界の反応は、企業にもたらされるリスクをほとんど軽減しません。業界のボットネット対策  最大規模のボットネットにフォーカス  スパマーにフォーカス  修復に数年が必要ボットネットの企業攻撃  小さい、目的が明確、カスタマイズされている  データ搾取、スパイ行為  すぐに修復が必要いくつかのボットネットは世界中に分散されているボットネット機能や方式に基づいて指揮管制レベルで攻撃するのは事実上不可能です。研究者にとって大きな課題の一つは、短時間のうちにすべての指揮管制サーバを見つけて支配権を握るという要件であることを先に述べました。分散傾向の強いボットネットほど撲滅するのは困難です。Rustock の場合でも、ほとんどすべての指揮管制サーバがアメリカ国内にあったという当局にとっての幸運があったため、連邦法執行機関と裁判所は一度にすべてのサーバを無効にする重要プロセスを緊密に連携するための判決ができたのです。多くのボットネットは世界中にサーバを持っていて、インターネット犯罪遂行のほんのわずかな部分で機能します。このモデルはインターネットそのものを直接反映していて、最初からいずれかのサイトの喪失に耐えられるよう設計されています。つまり、分散型ネットワークは撲滅試行に耐えられるよう設計されており、通常このモデルをボットネットに当てはめるのは非常に困難です。世界レベルでボットネットとの戦いに進展がみられる中、実際に勝利を収めるのは珍しく、ボットネットの脅威から企業を守れることはほとんどないでしょう。これは企業自身において企業をボットネットから守るという責任を負わせます。次のセクションでは、これら最新のマルウェアを企業内で検知し、感染や攻撃の機会を防ぐことができる新しいツールおよび技術を紹介します。 © 2010 Palo Alto Networks Page 7 ボットネットから企業を防衛するモデル提案このセクションではボットネットに関連する最新マルウェアを制御する方法と成功事例を紹介します。これら推奨事項は企業の既存セキュリティ方針を置き換えるのではなく、最新の多層防御への協調的取組みの一つとして補完するよう作られています。これらの実践方法を可能な限り一般化する取組みが行われてきましたが、現在ボットネット防御の実施を検討しているお客様のためにパロアルトネットワークス独自の詳細情報も記します。これは、ボットネット感染の制限および検知と、既に感染している可能性のあるデバイスの修復という 2 つの技術に対応する手法です。この手法は、企業にとって最も危険なボットネットはセキュリティコミュニティに対して未知である可能性が非常に高いという課題にも対応し、企業ネットワーク内のこれら未知の脅威を識別するための技術を取り入れています。  最新のマルウェアを制御する次世代ファイアウォールの役割  ネットワーク攻撃の受けやすさ低減  不明トラフィックの調査  マルウェアを有効化するアプリケーションの制御  回避ツール使用の防止  リモートユーザの保護  感染ホストの検索次世代ファイアウォールの導入マルウェアが個々の端末から協調ネットワークへと進化するにつれて、ネットワークの機能や制御を取り入れられるよう、企業はその分析範囲を拡大する必要があります。ネットワークセキュリティによって大規模ボットネットとの通信に依存する古いタイプのマルウェアからボットネットを区別するという特徴にだけ注力できます。ジョン・ゲージの有名な言葉、「ネットワークはコンピュータである」を解釈すると、本当の意味での脅威はネットワークとなります。セキュリティ対策がこれと同じレベルで動作しない場合、木を見て森を見ないという、まさに本当の危険を冒してしまいます。さらにネットワークセキュリティのメカニズムは、マルウェアに感染する可能性のあるエンドポイントそのものと異なり、監視と制御で独立したレイヤを提供します。ボットネットや最新のマルウェアには、標的コンピュータ上でアンチウイルスや他のセキュリティ機能を停止させようとし、root 権限を得ようとするルートキットが含まれることもあります。感染ホスト上で実行されるセキュリティソフトウェアが信頼できないため、セキュリティチームは動きがとれなくなります。これはホストベースセキュリティが時代遅れだと言っているのではなく、ホスト階層には多層防御の追加機能が必要であると指摘しているのです。上記ポイントは一般的なネットワークセキュリティに適用できます。しかし、特に次世代ファイアウォールはボットネットとの戦いに最重要追加機能として「回避技術が使われていようと、ネットワーク上のすべてのトラフィックを高信頼で可視化および制御」を提供します。ネットワーク上の全トラフィックで完全なスタック動作を理解することで、ボットネットが見つからないままとならないようにしつつ、企業環境で許可される動作を細かく制御することができます。ボットが機能するには非常に簡単な会話をする必要があり、これら証拠となる通信を見つけることがボットネットや企業への脅威を制御する重要な要素となります。次世代ファイアウォールはシグネチャだけでなく、アプリケーション分析の継続的処理、復号化、デコーディング、ヒューリスティックによりトラフィック分類を行い、正確な識別情報を決定するため徐々にトラフィックストリームの中身を解析します。ポート番号や暗号化に依存せずに未知のトラフィックを特定し分析するこの機能は本来の次世代ファイアウォールの特徴を定義しており、これまで見てきたように、この機能はボットネットとの戦いにおいて非常に重要です。 © 2010 Palo Alto Networks Page 8 さらに真の次世代ファイアウォールは脅威防御を完全統合したアプローチを提供します。単に一つのボックスに複数セキュリティ機能を混在させるのではなく、これら機能を正しく協調させるという違いがあります。たとえば、アプリケーション ID、マルウェア検知、侵入防御、URL フィルタリング、ファイル種別制御、コンテンツ検査がすべて統一された処理に統合されるべきです。この統合により、個々の技術が提供するよりもはるかに合理的で確実なボットネットの解釈が可能となります。この集団知能は未知の脅威兆候を認識し理解するために必要とされます。ボットネット感染の防御企業が最新のマルウェアを制御するのに取り得る最重要ステップは、感染経路を減らし、ボットネットの隠れようとする機能を取り除くことです。今日のボットネットによって使われる感染経路の大半は実質的に精査されていませんし、ボットネットのトラフィックは一般に、通常のネットワークトラフィックの一部に溶け込むことができるくらい小さいです。全体の可視化と、どのトラフィックがどの理由でネットワーク流入を許可されるかの正確な制御を取り戻すことで、セキュリティチームが２つの目的を両立させるのに大きく役立たせることができます。攻撃面の縮小企業にとって重要な第一ステップは、ポジティブコントロールモデルに戻すことです。ポジティブコントロールは必要としないすべてのトラフィックをブロックすることとは対照的に、必要とする特定トラフィックを許可することを意味します。ポジティブコントロールの概念は長い間、他のネットワークセキュリティからネットワークファイアウォールを分離する定義特製の一つとされてきました。たとえば、Telnet を使用したい場合、他のトラフィックを許可せずに 23 番ポートを開きます。残念ながら、アプリケーションが 80 番、443 番、53 番といった通常オープンなポートを使ったり、利用可能な非標準ポートを選んで使ったりするようになり、従来のファイアウォールは高い信頼性でポジティブコントロールを行えなくなってきています。企業の攻撃面を大幅に縮小し、全体的リスクを軽減する簡単な方法を提供するということで、ポジティブコントロール実施はマルウェアとの戦いに不可欠なツールです。アプリケーションの数と多様性が爆発的に増えており、それらのほぼすべては何かしらのリスクを含んでいるというのが実情です。 Web2.0、ウィジット、各種スクリプトオプションの増加は、個々のユーザに強力なアプリケーションやサービスを開発する権限を与え、そのほとんどが他のアプリケーションやサイトへ接続したり、そこで使用されたりするよう設計されています。さらに悪いことに、これらの毎日のように書き込みが行われるわずかなアプリケーションが企業の真の価値を持っているのです。ポジティブコントロールモデルを組み込むことで、セキュリティチームはブロックしたいすべてのアプリケーション情報を得ていくのではなく、承認されたアプリケーションの有効化に専念することができます。このアプローチでは、ボットネットがネットワークへ侵入する経路を劇的に削減しながら、ネットワークに触れない多数のアプリケーションを直ちに排除することができます。 © 2010 Palo Alto Networks Page 9 Tips 真の次世代ファイアウォールとは？現在、パロアルトネットワークスの次世代ファイアウォールは最新のアプリケーショントラフィックを正確にポジティブコントロールできる唯一のファイアウォールです。単純にポートを開け閉めするのではなく、より洗練された信頼性の高い方法でトラフィック識別を行うよう進化したファイアウォールが必要です。他のファイアウォールベンダと異なり、パロアルトネットワークスは一から作り直し、ポート番号とプロトコルだけに依存するのではなく、アプリケーションレベルですべてのトラフィックを分類する新しい分類機能を開発しました。しかし次世代ファイアウォールであっても、ポジティブコントロールを実施するのはスイッチをオンにするだけの簡単なものではありません。従業員により使用される一部のアプリケーションは、見ただけではその価値が分からないものもあります。このように、承認されたアプリケーションとユーザの役割の適切な組み合わせを定めるため、IT 部門とセキュリティチームは組織内の様々なグループと相談する計画を立てる必要があります。さらに Facebook など一部のアプリケーションは、従業員によるプライベート利用だけでなく、会社による顧客や見込み客との連絡手段としても利用でき、ビジネスとプライベートの両方で使われることになります。このような場合、特定ユーザのみがアプリケーションにアクセスできるようにするか、承認された特定機能のみにアプリケーション利用を制限するようポリシーを改善するとよいです。このアプリケーションを安全に利用できるようにする考え方は、本文書の後のセクションで説明します。まとめ - 攻撃面の縮小   企業のニーズや文化をもとに承認されたアプリケーションやその使用法に関するポリシーを確立する  ネットワーク上に存在するアプリケーションやプロトコルなどの基準を規定する  どのようなアプリケーションが使用されているか  どのようなアプリケーションがビジネスに必要で、誰が使用する必要があるか  どのビジネス／プライベート共用またはプライベート用アプリケーションを企業で許可したいか全トラフィックにポジティブコントロールを実施  不必要な、または高リスクのトラフィックを止める  ポート回避技術や暗号化に依存しない未知の通信を分析企業がネットワーク上で承認されたトラフィックを正確に分類する能力を取り戻した後は、ネットワーク内に残った未知のトラフィックを調査する元の情報が得られます。未知のトラフィックの存在と振舞いはボットネットの識別において重要な手掛かりとなり、これは多くの場合独自暗号化や独特な振舞いに伴う “unknown” トラフィックとして示されます。すべての unknown udp を調査 © 2010 Palo Alto Networks Page 10 次世代ファイアウォールにはネットワーク上で未知のトラフィックを検出し、分析する能力が必要です。同一のクライアントマシンから定期的に未知のトラフィックが送信されていたら、ユーザが使用している正規アプリケーションがボットネットに感染していないか調査する必要があります。またトラフィックがどこへ送出されるかを調べることができます。マルウェア配信サイトまたは SNS サイトとして知られるウェブサイトに接続しているか？目立った頻度で送信されているか？未知の URL においてファイルのダウンロードやアップロードを試行していないか？これらの振舞いによってボットに感染しているクライアントマシンの存在を特定することができます。ネットワーク上で承認されたトラフィックを正確に識別するために次世代ファイアウォールを使用することで、 “unknown” トラフィックの量は限定され、その結果潜在的に悪意あるボットネットトラフィックを即座に発見し、分析できるようになります。この手法は、企業において未知のボットネットを特定するのに有効であると既に証明されています。実際に、Mariposa ボットネットの初期発見の一つはパロアルトネットワークスの顧客による発見であり、このとき顧客はこの手法によりネットワーク内の未知のトラフィックを徐々に調査、分類していました。未知のトラフィックの分析は次項で詳しく説明するボットネット行動レポート (Behavioral Botnet Report) を使って自動化することができます。 Tips 未知の通信の追跡パロアルトネットワークスのファイアウォールにより未知のトラフィックの調査と制御が容易になります。トラフィックが送信される場所と量、関連する URL カテゴリ、誘発された脅威やマルウェアのシグネチャ、ファイルが転送されたかどうか、といった情報を含め、未知のトラフィックを他のアプリケーションと同様に追跡、分析、制御することができます。詳細分析やパロアルトネットワークスの脅威研究チームに渡すために、ユーザは未知のトラフィックの PCAP をキャプチャすることができます。行動的ボットネットは、ボットに感染していると思われるコンピュータを識別するために、自動的に共通のボットネット動作を結びつけることもします。この機能は、後のセクションで詳細に説明します。また、パロアルトネットワークスは承認されたアプリケーションを unknown として表示させないようにするため、カスタムアプリケーションに分類するよう設定することもできます。パロアルトネットワークスのファイアウォールでは、ユーザがカスタムアプリケーション用に独自の App-ID を記述することもできます。トラフィックの大部分を、時間をかけて十分に識別し、制御して unknown を無くすことができます。まとめ - 未知の通信を分析  未知 (unknown) のトラフィックを調査  トラフィックの送信元と宛先、トラフィックの量  URL、IPS、マルウェア、ファイル転送の記録との関連付け  内部アプリケーションやカスタマイズしたアプリケーション用に、必要に応じてカスタム App-ID を定義する  識別できない、一般に利用可能なアプリケーションについては PCAP をキャプチャし、パロアルトネットワークスへ提供する  潜在的なユーザの不正行動や潜在的なボットネットの振舞いに対して “unknown” トラフィックを調査する有効化アプリケーションの制御ボットネットのライフサイクルにおいてアプリケーションは不可欠であり、初期感染時のみでなく、その後のボットネット指揮管制においても重要です。マルウェアとアプリケーションの関連性は新しいもので © 2010 Palo Alto Networks Page 11 はありません。これまでのマルウェア有効化アプリケーションは業務電子メールでした。ウイルスと電子メールはセキュリティの観点から密接に関わりあってきました。電子メールは引き続き攻撃者によって使われてはいますが、このようなアプリケーションは通常企業によって厳重に保護され、メールサーバで処理する間にかなり詳細にメールメッセージを分析することができてしまうため、攻撃者にとって徐々に利用価値が失われてきています。現在、ボットネット運用者は電子メールよりもずっと柔軟性のある、リアルタイムでユーザと対話し、より遠隔から利用できるアプリケーションに標的を移しています。アプリケーションはすべて同じようには作られておらず、ボットネット所有者は隠れながらソーシャルエンジニアリング（人を欺く行為）を容易に実施するというボットの究極の目的を幇助するアプリケーションに引き寄せられています。SNS とプライベート利用のアプリケーションはこれら両方の条件を満たし、マルウェア感染とその後受ける指令の最も多い発信元となっています。これには、SNS アプリケーションそのもの、Web ベースの電子メール、インスタントメッセージングアプリケーション、ピアツーピアネットワーク、各種ファイル転送アプリケーションなどが含まれます。これらアプリケーションはさまざまな方法で簡単に情報共有するよう設計されており、ユーザはオフィス以外での使用に慣れている可能性があるため、多くの場合これらアプリケーション利用に無頓着です。これは攻撃者に調査開発する多数の感染オプションを与えてしまいます。 SNS アプリケーションは、攻撃者が友人や同僚になりすまして何も知らない被害者に危険なリンクをクリックするよう誘導することができるソーシャルエンジニアリングに対する理想的な環境も与えます。これらすべてに対して、マルウェア感染は無分別なクリックに無防備なユーザを引きずり込むことを当てにし続けています。電子メールの添付ファイルを開く代わりに、ツイート内のリンクやや友人からのものであると表示される Facebook ページ上のリンクのクリックかもしれません。危険なリンク読込みが可能なクロスサイトスクリプティングや FireSheep のようなスニフィング（トラフィック傍受）技術を友人間で使うことで、ハッカーは SNS アカウントを引き継ぐことができます。 SNS とマルウェアの関係は現実世界で確認されています。Information Warfare Monitor と Shadowserver Foundation による研究では、ボットネットのライフサイクルにおける SNS アプリケーションの役割に関して説得力のある証拠を提示しています。2010 年に “Shadows in the Cloud” という論文で、研究グループはカスタマイズされたボットネットを使用し、あるネットワークに的を絞って永続的侵入を追跡しました。彼らの分析では、指揮管制サーバとの直接通信をほとんど行わないボット感染コンピュータが見つかりました。代わりに、感染したホストから最初に発生したマルウェアトラフィックは人気のあるブログ、Google グループ、Twitter アカウント、Yahoo!メールのアカウントへ行っており、「異常のない」トラフィックにマルウェア通信が紛れ込んでいました。ボットネットは多くの場合、ネットワーク内で異常がなく目立たないトラフィックと見なされるものに紛れ込もうとするという重要な事実が示されたのです。無害なブログに投稿しただけに見えるユーザをセキュリティ管理者はどれだけ調査するでしょう？ SSL への移行インターネットやクラウドコンピューティングへの依存は、さまざまな技術や産業における SSL の普及を後押ししています。SNS サイトはユーザ通信を保護するためにデフォルトで SSL を使用することで、マルウェアを隠蔽しやすくしています。ハッカーによる盗聴や保護されていない HTTP セッションのハイジャックを考えれば、SSL 暗号化は必要な機能です。FireSheep といったツールはセッションハイジャックプロセスを誰にでも簡単にし、ウェブ上でのプライバシーの概念を脅かします。一方、ほとんどの企業は動的に SSL 暗号化通信の中身を確認することができないため、SNS トラフィックは事実上企業には見えることができません。ユーザは SNS トラフィックのプライバシーを確保できますが、その処理において最新のマルウェアが好むサイトとアプリケーションに対する目に見えない通信インフラを確立してしまうのです。デフォルトで SSL を使うようになったことは、BitTorrent のような P2P アプリケーションが過去数年間そうであったように、攻撃者にとって SNS アプリケーションを現実的に価値あるも © 2010 Palo Alto Networks Page 12 のにします。パターンは全く同じで、エンドユーザがプライベート利用したくなる暗号化された通信チャネルです。 Tips 有効化アプリケーションの制御パロアルトネットワークスは、マルウェアを有効化してしまうアプリケーションの使用を制御し保護するためのツールと機能を提供します。単にブログ、Web メール、IM、SNS アプリケーションへのアクセスをすべて遮断するのは非現実的であり、外部と通信し接続を維持する企業の権限を不当に制限してしまうので、安全にアプリケーションを利用できるようにするために、企業にとってこの機能は重要な要件です。ユーザベースのアプリケーション制御: 安全にアプリケーション利用する最初の手順は、アプリケーションが必要とする承認を得たユーザまたはユーザグループにアプリケーション利用を制限することです。たとえば、Facebook やその上で動くアプリケーションへのアクセスは会社のオンライン ID を管理する責任のある営業チームとマーケティングチームに限定し、他の従業員は許可しないかさらに厳しい制限を設けることができます。これにより企業の攻撃面をさらに縮小し、感染リスクを減らすことができます。アプリケーションを特定機能のみに制限: 余計なリスクを背負ってしまう特定機能の使用を防ぎつつ特定アプリケーションを許可する選択をすることもできます。たとえば、SNS アプリケーションへのアクセスは許可するが、投稿機能の無効化、ファイルのダウンロードや、他のアプリケーションのトンネリングやユーザデスクトップ共有といったリスクある振舞いをアプリケーションに行わせないようにすることができます。この対策では、特定ターゲットに転送されるマルウェア通信に対して大幅な動作制限をすることができます。ドライブバイダウンロードの防止: 多くの場合、ターゲットとなるエンドユーザもどこで最初にファイルをダウンロードしたか認識していません。ユーザは感染したウェブページによってバックグラウンド（ユーザ操作のないソフトウェア処理）でそのサイトから簡単にファイルを自動ダウンロードしてしまいます。これは一般にドライブバイダウンロード (drive-by download) と呼ばれ、正当なウェブページでも感染していると起きてしまいます。パロアルトネットワークスのドライブバイダウンロード保護機能は、ユーザが実際にファイルをダウンロードする意図があることと、そのファイルがユーザの知らない間にダウンロードされていないことを確認するよう促すことによって、この種の感染源から保護します。この機能はリンクが脆弱性攻撃を行うサイトにリダイレクトされ、その後バックグラウンドでマルウェアやドロッパーをダウンロードさせるという SNS 攻撃に対して非常に有効です。選択的な SSL 復号化: 次に、SSL 暗号化通信に対処する手段を企業は確立する必要があります。パロアルトネットワークスの次世代ファイアウォールはオンボックスの SSL 復号化を提供し、他のパロアルトネットワークスの機能のように、アプリケーションやアプリケーションタイプによって利用選択できます。これにより、SSL 復号化やコンテンツ検査に関して特に SNS アプリケーションを対象とすることができます。金融やヘルスケアサイト宛のトラフィックに対して個人情報の復号化を避けるために、URL フィルタリングカテゴリを使うこともできます。 © 2010 Palo Alto Networks Page 13 まとめ - 有効化アプリケーションの制御      既知の「悪い」アプリケーション使用防止  P2P  必要なユーザ／グループにアプリケーション利用制限危険機能の使用防止  ファイル転送  デスクトップ共有  他のアプリケーションのトンネリングドライブバイダウンロード防止と、その機能を使うユーザの教育アプリケーションや URL カテゴリに基づき選択的に SSL を復号化  SNS、ウェブメール、インスタントメッセージを復号化  ヘルスケアや金融債とからの通信は復号化しないすべての許可された危険なアプリケーション通信を検査し制御  侵入および脅威の防御  マルウェア対策  URL フィルタリング回避アプリ使用の防止前項ではエンドユーザと企業が使用するマルウェアを取り込み得る一般的な Web2.0 アプリケーションに着目しました。しかし、従来のネットワークセキュリティを中断することなく通過するよう意図的に設計された第二のアプリケーションがあります。これにはリモートデスクトップ技術、プロキシ、専用の回避アプリケーションなど厳格に管理する様々なものが含まれます。これらアプリケーションのいくつかは企業用途として有益ですが、一方で許可できない危険な動作の兆候も確実にあります。すべての場合、企業への管理されない攻撃経路を開かないようにするため、 IT 部門による厳格な管理が必要となります。リモートデスクトップ技術はエンドユーザだけでなく IT 部門やサポート部門でも非常によく使われます。ほとんどの Web 会議アプリケーションにもユーザ PC 上でリモートユーザが制御できる機能が追加されています。このような技術には 2 つのリスクが内在します。まず、ユーザが自身のリモート PC に接続するとき、ファイアウォールでトラフィックが検査されずにどの宛先へも、どのアプリケーションを使っても自由にネット接続できてしまいます。リモートデスクトップを使うとポリシー回避できるだけでなく、ユーザが遠隔から危険行為を実施でき、企業内部 PC にトンネル接続するという非管理攻撃経路を開いてしまいます。次に、リモートデスクトップ技術は、外部ユーザが企業のトラステッド（信頼された）ネットワーク内のコンピュータへのフルアクセスを取得してしまうというリスクを持ちます。この種のリモートコントロールは最初の段階におけるマルウェアの達成目標であり、侵入を誘発するのが明らかである危険な開口部を生成してしまいます。 © 2010 Palo Alto Networks Page 14 SSH のような、企業内で有効利用されるものの、誤用・不正利用・よく分かっていないユーザによる利用によって意図しない脅威が簡単に生成されてしまう企業アプリケーションもよく目にします。たとえば、ほとんどの企業はデータセンタ内のシステムやアプリケーションを管理するのに SSH を使用します。しかしデータセンタへのトンネル接続に SSH が使用されている場合、企業の最重要資産へアクセスする直接的な非管理経路となり得ます。企業においてこれらアプリケーションは承認された一部のユーザのみ利用するよう厳重規制し、トンネリング機能は厳密に制御する必要があります。さらに、Web プロキシアプリケーションや暗号化トンネリングアプリケーションは、その主な目的がファイアウォールや他のセキュリティ装置を回避する安全な匿名通信を行うことへと進化してきました。 CGIProxy や PHProxy のようなプロキシ技術は、企業にコントロールされず安全に Web 通信する比較的簡単な方法をユーザに提供し、75%以上の企業ネットワークで発見されています。UltraSurf、 Hamachi、Tor のようなものはセキュリティ装置を回避するための専用アプリケーションで、検出されないよう定期的に更新されます。これらのアプリケーションを企業内で使用する正当な理由はほとんどなく、存在しているのであればそれは意図的に企業セキュリティを回避しようとしていることが考えられます。これらツールは検査を避けてトラフィックを通過させるだけでなく、非常に高いマルウェア感染リスクを伴うファイル共有などのリスクの高い振舞いや明示的にブロックされるコンテンツやサイトの閲覧に使用される傾向にあります。したがって、これらアプリケーションはほぼすべての場合ブロックする必要があります。 Tips 回避ツールの制御リモートデスクトップ: パロアルトネットワークスの次世代ファイアウォールによって、企業はポリシーによって自動的にリモートデスクトップの様々な技術を制御することができます。他のアプリケーションと同様に、複数のリモートデスクトップ技術がグループ化されているため、アプリケーションフィルタを作成することで容易に制御することができます。新しいリモートデスクトップアプリケーションが市場に出回った場合、パロアルトネットワークスが適切なフィルタカテゴリにマッピングされる新しい App-ID をリリースすることで、ユーザは自動的に新しいアプリケーションから保護されることになります。さらにリモートデスクトップアプリケーションはユーザベースの制御に向いています。たとえば仕事にリモートデスクトップを必要とする IT 部門とサポート部門はこれらアプリケーションを使用でき、他の従業員は使わせないようにすることができます。 SSH: パロアルトネットワークスの次世代ファイアウォールは企業ポリシーに基づき SSH を制御することができます。本当に必要とする IT 部門のユーザのみに SSH の利用を制限することができるということです。また SSH を完全にブロックせずに、SSH のトンネリング機能のみを選択的に無効にすることもできます。企業宛に開放されたトンネルを生成するリスクを生じずに必要なツールを利用させることが可能です。暗号化プロキシ: 暗号化プロキシは制御とブロックという面で最も困難なアプリケーションであるといえ、アプリケーションリサーチチームの質がはっきり分かる分野です。UltraSurf、 Hamachi、Tor といったアプリケーションはもともと検閲制御を回避するために設計されましたが、従来のセキュリティを回避する機能がハッカー集団とつながるようになってきました。さらに悪いことに、これらアプリケーションは定期的にセキュリティ技術による検出を避けるために更新されます。ファイアウォールベンダは継続的にこれらアプリケーションを追跡し、適宜にセキュリティ対策のアップデートを行う責任があります。現在、パロアルトネットワークスはこれらアプリケーションすべてを検出し阻止する唯一の次世代ファイアウォールです。さらにパロアルトネットワークスの研究者は継続的にこれらアプリケーションの変更を追跡し、第一線のハッキングツール使用を阻止するため必要に応じて App-ID を更新しています。 © 2010 Palo Alto Networks Page 15 まとめ - 回避ツールの制御     リモートデスクトップの利用制限  IT 部門のみ SSH を安全に有効化  SSH トンネリングを防止承認されないプロキシ使用のブロック暗号化トンネルのブロック  UltraSurf  Hamachi  毎週の App-ID アップデートリモートユーザの保護これまで、ネットワークが内部と外部に明確に分離された従来型のネットワークトポロジというのが前提でした。しかし、企業コンピュータは従来の物理的境界を越えて到達するよう進化してきました。ユーザはノートパソコンを家に持ち帰り、文字通りどこからでも接続して仕事できることを望んでいます。ユーザがどの場所からでも同じように作業できることを期待している状況では、セキュリティ上の方針に不均衡を生じますが、セキュリティ製品 (ファイアウォールや IPS など) の大半は企業ユーザがこれまででいう物理的境界内部に存在する場合のみに適用されています。さらに悪いことに、自宅での仕事はユーザを無意識のうちにプライベートな利用に戻すため、多くの場合オフィス内にいるよりも外の方がユーザの Web ブラウジングやアプリケーション動作はリスクが高い傾向にあります。この動作により非常に危険なリンクのクリックやドライブバイダウンロードを引き起こすサイトにアクセスする可能性が高くなります。 Tips GlobalProtect パロアルトネットワークスの GlobalProtect は、ユーザが企業の物理境界を越えてローミングするとき、従来の企業セキュリティとセキュリティの相対的な欠如のギャップを埋めることに注力します。つまり G リモートユーザや移動中のユーザが GlobalProtect によって企業ファイアウォールと接続したままにすることができます。これにより同じアプリケーションベースファイアウォール、IPS、マルウェア防御、URL フィルタリング、ボットネット検出機能がすべてのユーザトラフィックを受信できます。GlobalProtect ソリューションはユーザに対して透過的で、ユーザがどこにいようとも強力なパフォーマンスと有用性を確保するため企業内の全パロアルトネットワークスファイアウォールを活用します。また GlobalProtect により、オフィスにいても喫茶店にいても、ユーザを感染から保護するドライブバイダウンロード防御といったすべての次世代ファイアウォール機能へアクセスできるようにします。ユーザがどこにいようと、ポリシー実施と脅威防御の両方の観点から同じ最終結果が得られます。まとめ - リモートユーザの保護    ユーザの場所に依存せず企業ファイアウォール機能および脅威防御をすべて実施  リモートユーザ保護のため GlobalProtect を導入ドライブバイダウンロードの防御を実施ユーザの場所に基づいてカスタマイズされたポリシーを適用  リモートにいる場合、セキュアなシステムからファイルをダウンロードさせない © 2010 Palo Alto Networks Page 16 感染ホストの検知セキュリティ部門が最善の対策を行っているにもかかわらず、企業のパソコンは必然的にマルウェアに感染します。これは未知のマルウェアや未知の攻撃経路の経由、または USB ドライブなどの物理的接続による可能性があります。マルウェアは長年の実績があり、世界で最もセキュリティの高いシステムであっても感染する可能性があります。結果的に、ユーザは感染している前提で、ネットワーク内で感染ホストを発見するのに必要なスキルを身に付けることが重要です。マルウェアが従来のマルウェアシグネチャをすり抜け、既に感染したコンピュータのルート権限を持っているかもしれないことを考えると難しい作業になります。これらの感染ホストを特定するため、マルウェアシグネチャの代わりにネットワーク上で観察される行動の分析に焦点を移す必要があります。機密性や独創性の面で、ボットネットは機能するための通信を行う必要があり、それを発見しにくく、追跡しにくくする必要があります。ボットが未知のものであっても、これらの基本要件を使ってボットのトラフィックや通常のエンドユーザのトラフィックから逸脱した行動を識別するパターンを作ることができます。指揮管制トラフィックの検知次世代ファイアウォールの主な利点の 1 つは、アプリケーションレベルでトラフィックの複雑な流れを分類することができることです。これには本来のアプリケーションが識別されるまでプロトコル内部で動作するプロトコルをカプセル解除するようトラフィック内をスキャンする機能が含まれます。特定のボットネットが独自に使う指揮管制トラフィックを識別する場合、複雑なトラフィックを識別するこの機能は非常に重要です。あらゆる意味でボットネットはアプリケーションであり、その独自性のあるトラフィックはパロアルトネットワークスにより識別可能です。指揮管制トラフィックの検出は、脅威防御モジュールの不可欠な要素であり、他の脅威およびコンテンツの更新とともに定期的に更新されます。ボットネット検出への IPS 活用パロアルトネットワークスでは、マルウェア内の特定要素に基づき潜在的なポリモーフィック型マルウェアを識別する各種追加機能もあります。たとえば非常に有名で成長している銀行ボットネットの SpyEye は、継続的にサイズを変更できるようスペースを確保し、結果として署名を変更します。しかし SpyEye はボットを更新するため暗号化されたコンフィグファイルを定期的にダウンロードします。パロアルトネットワークスの研究者は、このコンフィグファイルを解析でき、IPS がマルウェア自体を認識していなくてもボットの存在を識別することが可能なパターンをコンフィグファイルから発見できました。これは IPS とマルウェア検知が最新の脅威検知で関係する一例です。ボットネット行動レポート前述の調査手法が重要であるものの、多くの企業はその作業を行う時間がありません。パロアルトネットワークスのボットネット行動レポートでは、ボットの存在を示す行動を追跡し、相互関係を示すプロセスを自動化します。この機能では以下に要約される特徴を基に検査します。  Unknown TCP/UDP: 前述の論文で見られるように、ボットネットトラフィックは通常暗号化され、未知のものです。パロアルトネットワークスはすべてのトラフィックを識別するため、未知の TCP 通信 (Unknown TCP) および未知の UDP 通信 (Unknown UDP) を追跡することでボット感染コンピュータを発見する手掛かりとなります。管理者がセッション、宛先、バイト数によって未知の通信をトラッキングできます。  ダイナミック DNS の存在: マルウェアは多くの場合、ボットネット通信の追跡を難しくさせるためにダイナミック DNS を使用します。絶え間なく変化する IP アドレスのリストを持つ複数の感染ホスト間でトラフィックを折り返すことにより、ボットの経路と本来の送信元および宛先を追跡するのは非常に困難になります。 © 2010 Palo Alto Networks Page 17     既知のマルウェアサイトとの通信: URL フィルタリング機能の一部として、パロアルトネットワークスは意図的であるかを問わず不正なソフトウェアをホスティングしているサイトを常時追跡します。パロアルトネットワークスは、ユーザが繰り返しこのようなサイトにアクセスしファイルをダウンロードしようとしていないか追跡することができます。最近登録されたドメインへのアクセス: ボットネットは、検出を避け、サーバが検出されたり無効にされたりしたときに復旧するよう常に動き続けています。そのため多くの場合、指揮管制機能をサポートするために新しいドメインを使用する必要があります。新しく登録されたドメインに繰り返しアクセスするユーザが決定的に感染しているとはいえませんが、感染を裏付ける証拠となる場合もあります。 URL ではない IP ドメインへのブラウズ: 同じように、通常 URL を使うユーザとは対照的に、ボットは通信するのに決められた IP アドレスや既知の IP アドレス範囲をよく仕様します。新しく登録されたドメインの追跡と同様に、IP ドメインの使用を追跡することで、職場における人間ではないボットの存在を表すことができます。 IRC 通信: IRC トラフィックはボットに対する最も有名な通信方式で、ボット検知データと関連付ける補足情報となります。ボットネット行動レポートは、上記すべての要素を基に、ボットに感染している可能性のあるホストを検出するため自動で関連付けを行います。実行すると、分析の一因となった行動とともに感染していると思われるコンピュータまたはユーザのディレクトリ上のユーザ名をレポート表示します。また、各ユーザは上記要素のうちいくつに関連しているかに基づきスコアが提供され、感染している可能性の最も高いデバイスに注力することができます。推奨事項のまとめポジティブコントロール確立と未知の通信分析    企業のニーズや文化をもとに承認されたアプリケーションやその使用法に関するポリシーを確立する内部アプリケーションやカスタマイズしたアプリケーション用に、必要に応じてカスタム App-ID を定義する潜在的なユーザの不正行動や潜在的なボットネットの振舞いに対して “unknown” トラフィックを調査する有効化アプリケーションの制御      既知の「悪い」アプリケーション使用防止  P2P  必要なユーザ／グループにアプリケーション利用制限危険機能の使用防止  ファイル転送  デスクトップ共有  他のアプリケーションのトンネリングドライブバイダウンロード防止と、その機能を使うユーザの教育アプリケーションや URL カテゴリに基づき選択的に SSL を復号化  SNS、ウェブメール、インスタントメッセージを復号化  ヘルスケアや金融債とからの通信は復号化しないすべての許可された危険なアプリケーション通信を検査し制御  侵入および脅威の防御  マルウェア対策  URL フィルタリング © 2010 Palo Alto Networks Page 18 回避ツールの制御     リモートデスクトップの利用制限  IT 部門のみ SSH を安全に有効化  SSH トンネリングを防止承認されないプロキシ使用のブロック暗号化トンネルのブロック  UltraSurf  Hamachi  毎週の App-ID アップデートリモートユーザの保護    ユーザの場所に依存せず企業ファイアウォール機能および脅威防御をすべて実施  リモートユーザ保護のため GlobalProtect を導入ドライブバイダウンロードの防御を実施ユーザの場所に基づいてカスタマイズされたポリシーを適用  リモートにいる場合、セキュアなシステムからファイルをダウンロードさせない感染ホストの検知    ユーザの場所に依存せず企業ファイアウォール機能および脅威防御をすべて実施  リモートユーザ保護のため GlobalProtect を導入ドライブバイダウンロードの防御を実施ユーザの場所に基づいてカスタマイズされたポリシーを適用  リモートにいる場合、セキュアなシステムからファイルをダウンロードさせないまとめボットネットはマルウェアの世界と最新のネットワーク攻撃手法を変えてきました。これらの脅威は、これまでのマルウェアに見られなかった知能、回復性、規模を示し、従来のセキュリティを回避することに精通しています。これらの脅威を制御することは、複数のセキュリティ機能が必要になります。単一のソリューションではボットネット問題を解決できませんが、次世代ファイアウォールでは独自の可視化と制御、そして現在および将来の脅威を発見し阻止するのに必要な脅威防御機能を統合して提供します。新しい技術が開発され、マルウェアが進化するように、これらの手法も進化し続けます。ご利用の環境におけるボットネット制御や全体的なネットワークセキュリティの向上に関する支援について、ご意見やご質問をお気軽にお問い合わせください。 © 2010 Palo Alto Networks Page 19