次世代ファイアウォールによるボットネット制御 - Live

次世代ファイアウォールによるボットネット制御
パロアルトネットワークス合同会社
www.paloaltonetworks.jp
目次
概要 ............................................................................................................................................. 3
ボットネットとその特徴 ................................................................................................................... 3
エンタープライズへの脅威 ............................................................................................................. 4
スパムボットネット (Spamming Botnets) .................................................................................... 4
DDoS とボットネット ................................................................................................................... 5
金融ボットネット ......................................................................................................................... 5
ターゲット侵入 ........................................................................................................................... 5
業界はボットネットに対して何をしているか? .................................................................................. 6
トップダウンモデルが企業を防御できないのはなぜか? ................................................................. 7
ボットネットから企業を防衛するモデル提案 .................................................................................... 8
次世代ファイアウォールの導入 .................................................................................................. 8
ボットネット感染の防御 .................................................................................................................. 9
攻撃面の縮小 ........................................................................................................................... 9
まとめ - 攻撃面の縮小........................................................................................................ 10
未知の通信を分析 .................................................................................................................. 10
まとめ - 未知の通信を分析................................................................................................. 11
有効化アプリケーションの制御 ................................................................................................. 11
SSL への移行 ..................................................................................................................... 12
まとめ - 有効化アプリケーションの制御 ........................................................................... 14
回避アプリ使用の防止............................................................................................................. 14
まとめ - 回避ツールの制御................................................................................................. 16
リモートユーザの保護 .............................................................................................................. 16
感染ホストの検知 ....................................................................................................................... 17
指揮管制トラフィックの検知 ...................................................................................................... 17
ボットネット検出への IPS 活用 ................................................................................................. 17
ボットネット行動レポート........................................................................................................... 17
推奨事項のまとめ ....................................................................................................................... 18
ポジティブコントロール確立と未知の通信分析 .......................................................................... 18
有効化アプリケーションの制御 ................................................................................................. 18
回避ツールの制御................................................................................................................... 19
リモートユーザの保護 .............................................................................................................. 19
感染ホストの検知 .................................................................................................................... 19
まとめ ......................................................................................................................................... 19
© 2010 Palo Alto Networks
Page 2
概要
ボットネットおよび近年のマルウェアの増加は脅威の情勢に新たな局面を開き、企業における防御方
法の見直しを余儀なくさせています。これら最近の脅威は、従来のマルウェア対策を凌駕し、犯罪者
や国家が情報搾取や重要情報への攻撃に使うことのできる踏み台を企業内に確立しています。
本文書は 2 つのセクションに分かれており、最初のセクションではボットネットの概要とその動作、およ
びこれまでのセキュリティ業界(以下、業界)の反応を再考察します。2 つ目のセクションでは次世代フ
ァイアウォールの機能を使って企業がボットネットから積極的に防御できるモデルを紹介します。
ボットネットとその特徴
企業の情報セキュリティ部門は 20 年以上にわたり、さまざまな種類のマルウェアと闘ってきました。
しかし苦労して得た経験のすべてが必ずしも企業の闘いを勝利に導いたわけではありません。最近の
研究でその問題原因が発見されました。2009 年の Cyveillance の研究では、平均するとインターネッ
ト上で活動のあったマルウェアの半分は業界のマルウェア対策ソリューションでは検出されず、2010
年の NSS Labs の研究ではマルウェアの 53%のみがダウンロード時に検出されただけだったことが
分かりました。これは変異や従来のマルウェアシグネチャによる検出回避のため更新されうるというマ
ルウェアの進化が大きな原因です。ボット (個々の感染したコンピュータ) やボットネット (連係するボッ
トの広範ネットワーク) は、このようなポリモーフィック型 (感染のたびに異なる姿になる) マルウェアの
進化において重要な役割を果たし、従来のウイルス対策/マルウェア対策ソリューションで検知する
のは難しいことで有名です。このように、前世代と大きく異なるマルウェアからボットネットが生成される
ことと、それら制御の徹底がどう影響するか、ということを理解することは重要です。
分かりにくいかもしれませんが、重要な区別は「ボットネット」という名前で明らかになります。文字通り、
ボットネットはボット (感染したコンピュータ) のネットワークです。程度の差はあるものの独立したエー
ジェントが群がる従来のマルウェアと異なり、ボットは中央組織化され外部世界への通信チャネルを保
持します。インターネットがパーソナルコンピュータの可能性を変えたのと同じような方法で、ボットネッ
トはマルウェアの世界の可能性を変えています。現在、同じ種類のマルウェアはすべて、感染した複
数のコンピュータを使ってボットネット全体の能力を増強させ、共通ゴールに向かって連動させることが
できます。ボットネットは新たなゴールの追究や、セキュリティ対策の変化に適応するよう進化できます。
ボットネットの最重要かつ特有の機能特性を以下に記します。
© 2010 Palo Alto Networks
Page 3
分散型、フォルトトレラント: ボットネットはインターネットに組み込まれた耐障害性を最大限に活用す
るマルウェアです。ボットネットは複数の代替システムを備え、世界中に分散された複数の制御サーバ
を持ちます。ボットはアクセスオプションの変更に適応するよう無限に近い通信パスを備え、通信チャ
ネルとして感染した他のボットを利用することもあります。
多機能: 指揮管制サーバからのアップデートによってボットの機能を完全に変えることができます。こ
の機能はボットネット所有者に対して新たな経済的アプローチを可能にし、あるボットネットセグメント
ではスパムメールを送信させ、一部のボットネットではクレジットカード番号の収集といった特定目的の
ために利用できるようになります。機能は必要に応じて後でいつでも変更できるため、感染が最重要
手順であるということが重要なポイントです。
持続性と知性: ボットは検出しづらく、簡単に機能を変更できることを考えると、標的を定めた長期的
なネットワーク侵入に適しています。ボットは遠隔知能の制御下にあるため、ボットネットは悪意ある実
行ファイルではなく、ネットワーク内部に悪意あるハッカーがいるようなものです。たとえば、ネットワー
ク構成について調査し、攻撃ターゲットを探し、万一ボットが検出されてしまったときに備えてネットワ
ーク内に追加のバックドアを仕掛けるためにボットが使われます。
エンタープライズへの脅威
その柔軟性と防御回避能力を考えると、企業においてボットネットは途方もないリスクとなります。ボッ
トネットはスパム送信から機密情報および企業秘密の窃盗に至るまで、その機能に関して実質的に無
制限です。ボットネットの最終的な影響は、ほぼボットネット運用者に委ねられており、今日スパムを送
信したノードは明日クレジットカード情報を盗むこともできます。ここでは注目すべきボットネットのいく
つかの種類をまとめ、有名なボットネットの例をいくつか紹介します。
スパムボットネット (Spamming Botnets)
巨大ボットネットの多くはスパムメール送信専用です。考え方はとても単純です。ボットネット運用者 (1
人または複数人でボットネットを遠隔操作) は大量のスパムメッセージ送信を所有者に知られずに行
えるよう、できるだけ多くのエンドポイントを感染させようと試みます。企業において、この種のボットに
対する相対的影響度は当初は低いものでしょう。スパムを送信する感染ユーザは企業ネットワークの
帯域消費を増やし、最終的にユーザの生産性とともにネットワーク自体の生産性も落とします。このよ
うな企業はスパム送信組織として登録されやすくもなり、最終的に企業の適格メールがスパムとして
見なされる可能性があります。
ボット感染したパソコンのリスクはボットネット自体の機能を超える場合があります。感染したパソコン
は悪用する新たなターゲットを見つけ拡散するため、企業ネットワークへのバックドアと侵入地点を仕
© 2010 Palo Alto Networks
Page 4
掛けます。こうした背景から、どんなボットネットも楽観してはなりません。つまり、悪意のない感染ホス
トなどというものはないのです。
例: Rustock
DDoS とボットネット
スパムのボットネットモデルに若干ひねりを加えると、多数のエンドポイントからのトラフィックを使って
ターゲットシステムを忙殺させる DDoS (分散型サービス拒否攻撃) の一部としてボットを利用できま
す。この場合、感染クライアントが存在する企業はほとんどの場合攻撃そのものの対象ではなく、単純
にトラフィックを使ってリモートターゲットの負荷を飽和させるために感染ホストが使われます。
繰り返しになりますが、ボットネット所有者(ボットネットの制御者)は大規模ボットネットの力を活用し、
ターゲットのリソースを圧倒するトラフィック量を生成します。これら DDoS 攻撃は多くの場合、個人的、
政治的な理由のいずれかにより特定企業を標的とするか、DDoS 攻撃を停止する見返りにターゲット
から金銭を強要します。DDoS 攻撃は企業にとって二重のリスクを抱えます。企業そのものがダウンタ
イムや生産性損失をもたらす DDoS 攻撃のターゲットとなる可能性があるのと、企業が最終ターゲット
とならなくても、攻撃に参加する感染ユーザは不注意に犯罪加担しながら貴重なネットワークリソース
を消費することもあります。
例: Skunkx
金融ボットネット
金融ボットネットは、市場で発生した被害が甚大であったためにマスコミで広く報道がありました。
ZeuS や SpyEye のような銀行ボットネットはあらゆる企業からの直接的な資金窃盗に関与していま
す。1 人の所有者のためにできるだけ大きくなるスパムボットネットに比べると、これらのボットネットは
大きくなく完全に統制されてもいません。その代わり、銀行ボットネットは多数の攻撃者にコードのライ
センスを与え、ボットネットやターゲットを構成できるキットとして販売されています。規模が小さくても、
これらボットネットの影響は甚大です。ZeuS ボットネットは非常に短い時間で繰り返し企業から数百万
ドルを盗むことができました。他の金融ボットネットはクレジットカード情報の搾取や自動決済の銀行送
金の捏造に尽力します。金融妨害の影響は企業にとって計り知れません。顧客クレジットカード情報
の侵害は企業にとって深刻な金銭的、法律的、ブランドの損害につながります。さらに人事、財務、会
計部署が感染した場合、企業は取り返しのつかない金銭を瞬時に失う可能性があります。
例: Zeus, SpyEye
ターゲット侵入
ボットネットはターゲットを絞った高度な継続的攻撃の重要機能でもあります。これらの種類のボットネ
ットは、大規模ボットネットとは大きく異なります。大規模攻撃を実施すべく多数のユーザに感染しよう
とする代わりに、これら小規模ボットネットは重要度の高いコンピュータに感染することを狙っており、こ
のコンピュータは後から標的ネットワークへの侵入や偵察に利用されます。この場合、保護されたシス
テムへのアクセス権を得て侵入経路が見つかった場合、ネットワークにバックドアを作成するために感
染コンピュータが利用されます。これらの脅威はウイルス対策ベンダにとってほとんど毎回未知のもの
です。研究開発、ソースコード、プランニングデータ、財務データ、顧客リストなどといった企業において
最も価値の高い情報を明確な標的とするという点では、企業に対して最も危険な脅威の一つであるこ
とを表します。これらの脅威は計画的であり、企業の最重要資産を対象としているため、企業にとって
最も危険なボットネットの一つであるといえます。
例: Aurora
© 2010 Palo Alto Networks
Page 5
業界はボットネットに対して何をしているか?
ボットのネットの激増は業界では見過ごされておらず、最大規模かつ最も悪名高いボットネットに対し
て行動を起こそうと大企業は司法当局と手を組み始めています。目的は中枢部(指揮管制サーバ)か
らボット(感染したコンピュータ)を分離することです。ボットが制御サーバに到達できなければ新しい命
令を得ることができず、ボットネットを特殊で危険なものにするデータなどをアップロードできません。ボ
ットネットの “撲滅 (decapitation)” と呼ばれる一般的なアプローチを考えることができます。
この戦略は単純に見えるかもしれませんが、現実にはセキュリティ研究者と捜査当局との間で膨大な
量の調査、ノウハウ、調整が必要となります。指揮管制サーバの無効化は物理的なサーバの押収だ
けでなく、サーバに関連するドメイン名や IP アドレス範囲の所有権を得る必要があります。これにはボ
ットネット無効化を望む技術部門、法務部門、捜査当局の間で緊密な連携が求められます。
問題をさらに深刻化するのは、ボットネットは通常単一のサーバに依存するのではなく、冗長性を確保
するため複数の指揮管制サーバを持つことです。さらに各サーバは通常、その本当の場所を隠すた
め、さまざまな仲介者により途絶されています。これらの仲介者にはピアツーピアネットワーク、ブログ
またはソーシャルネットワーキング (SNS) サイト、さらに他の感染したボットを介してプロキシされた通
信を含みます。単純に指揮管制サーバを探すのは時間と詳細な技術調査が必要となり、かなり困難
であるといえます。
さらに悪いことに、ほとんどのボットネットは指揮管制サーバの喪失に耐えるよう設計されており、一度
にすべての指揮管制オプションを無効にする必要があるのです。いずれかの指揮管制サーバへアク
セス可能な場合、またはフォールバック(代替システム使用)が成功した場合、ボットは更新プログラム
を入手し、新規サーバ情報を読込み、即座に回復することが可能です。これは、ほぼ同時にサーバ群
を取り除く必要があることを意味します。ボットネット所有者は攻撃を受けていることを察知するとすぐ
に新たなインフラへ移動しようとします。したがってほんの短い時間、サーバが 1 台残っているだけで
も、ボット所有者に対してボットを更新しボットネット全体を回復する余地を与えてしまうのです。
詳細調査では指揮管制分散環境とマッピングする必要がある。
このアプローチに対するさまざまな課題にも関わらず、業界では非常に一貫性ある、注目を浴びた成
功例があります。2011 年 3 月に Microsoft が業界のリーダと協力して作業し、FBI は無事に Rustock
ボットネットを撲滅することができました。Rustock ボットネットは 5 年以上にわたり展開し、スパムメー
ルを全世界の最大 60%送信することに関与していました。
© 2010 Palo Alto Networks
Page 6
トップダウンモデルが企業を防御できないのはなぜか?
上記モデルは最大規模かつ悪名高いボットネットへの業界の有効な対応を示しており、これら活動を
先導する企業は当然にその活動を称賛されるべきです。しかし、これらの取り組みは広範なインター
ネット全体の視点では良いものの、ボットネットが個々の企業にもたらす脅威を軽減するのにほとんど
効果がないということを理解するのもセキュリティ専門家として同様に重要なことです。
明確な限界として、トップダウンモデルでは信じられないほど多くの時間と労力がかかるため、最大規
模で悪名高いボットネットのみが対象となるわけです。かなり多くの過程が受動的になり、場合によっ
ては終了まで数年かかってしまいます。企業のセキュリティニーズはそれより明らかに緊急であり、第
一地点への侵入や脆弱性攻撃を成功させないようにする必要があります。本質的には、ボットネットを
停止させるのを業界に頼ることは、会社がたった今泥棒に押し入られているのに政府が法律を制定す
るのを待っていることに似ています。
また、業界の活動は通常最大規模のもの、または悪名高いスパマーのボットネットに対して重点的に
取り組んでいます。ネットワーク上のどのようなボットもリスクを生じますが、これらスパムボットネット
は特定企業をターゲットにしていないということで重要ではなく、単により多くのスパムを送信できるよ
うに複数のホストを探しています。攻撃者が企業ネットワークへの侵入や情報搾取を行う場合、マルウ
ェアはほとんどの場合相当カスタマイズされていて、サイズが小さく、検知するのが非常に困難です。
これら小さなボットネットは業界には完全に未知である可能性が高く、業界によって除去される対象と
してほとんど注目されません。繰り返しますが、上記業界の反応は、企業にもたらされるリスクをほと
んど軽減しません。
業界のボットネット対策
 最大規模のボットネットにフォーカス
 スパマーにフォーカス
 修復に数年が必要
ボットネットの企業攻撃
 小さい、目的が明確、カスタマイズされている
 データ搾取、スパイ行為
 すぐに修復が必要
いくつかのボットネットは世界中に分散されているボットネット機能や方式に基づいて指揮管制レベル
で攻撃するのは事実上不可能です。研究者にとって大きな課題の一つは、短時間のうちにすべての
指揮管制サーバを見つけて支配権を握るという要件であることを先に述べました。分散傾向の強いボ
ットネットほど撲滅するのは困難です。Rustock の場合でも、ほとんどすべての指揮管制サーバがアメ
リカ国内にあったという当局にとっての幸運があったため、連邦法執行機関と裁判所は一度にすべて
のサーバを無効にする重要プロセスを緊密に連携するための判決ができたのです。多くのボットネット
は世界中にサーバを持っていて、インターネット犯罪遂行のほんのわずかな部分で機能します。
このモデルはインターネットそのものを直接反映していて、最初からいずれかのサイトの喪失に耐えら
れるよう設計されています。つまり、分散型ネットワークは撲滅試行に耐えられるよう設計されており、
通常このモデルをボットネットに当てはめるのは非常に困難です。
世界レベルでボットネットとの戦いに進展がみられる中、実際に勝利を収めるのは珍しく、ボットネット
の脅威から企業を守れることはほとんどないでしょう。これは企業自身において企業をボットネットから
守るという責任を負わせます。
次のセクションでは、これら最新のマルウェアを企業内で検知し、感染や攻撃の機会を防ぐことができ
る新しいツールおよび技術を紹介します。
© 2010 Palo Alto Networks
Page 7
ボットネットから企業を防衛するモデル提案
このセクションではボットネットに関連する最新マルウェアを制御する方法と成功事例を紹介します。こ
れら推奨事項は企業の既存セキュリティ方針を置き換えるのではなく、最新の多層防御への協調的
取組みの一つとして補完するよう作られています。これらの実践方法を可能な限り一般化する取組み
が行われてきましたが、現在ボットネット防御の実施を検討しているお客様のためにパロアルトネット
ワークス独自の詳細情報も記します。
これは、ボットネット感染の制限および検知と、既に感染している可能性のあるデバイスの修復という
2 つの技術に対応する手法です。この手法は、企業にとって最も危険なボットネットはセキュリティコミ
ュニティに対して未知である可能性が非常に高いという課題にも対応し、企業ネットワーク内のこれら
未知の脅威を識別するための技術を取り入れています。
 最新のマルウェアを制御する次世代ファイアウォールの役割
 ネットワーク攻撃の受けやすさ低減
 不明トラフィックの調査
 マルウェアを有効化するアプリケーションの制御
 回避ツール使用の防止
 リモートユーザの保護
 感染ホストの検索
次世代ファイアウォールの導入
マルウェアが個々の端末から協調ネットワークへと進化するにつれて、ネットワークの機能や制御を取
り入れられるよう、企業はその分析範囲を拡大する必要があります。ネットワークセキュリティによって
大規模ボットネットとの通信に依存する古いタイプのマルウェアからボットネットを区別するという特徴
にだけ注力できます。ジョン・ゲージの有名な言葉、「ネットワークはコンピュータである」を解釈すると、
本当の意味での脅威はネットワークとなります。セキュリティ対策がこれと同じレベルで動作しない場
合、木を見て森を見ないという、まさに本当の危険を冒してしまいます。
さらにネットワークセキュリティのメカニズムは、マルウェアに感染する可能性のあるエンドポイントそ
のものと異なり、監視と制御で独立したレイヤを提供します。ボットネットや最新のマルウェアには、標
的コンピュータ上でアンチウイルスや他のセキュリティ機能を停止させようとし、root 権限を得ようとす
るルートキットが含まれることもあります。感染ホスト上で実行されるセキュリティソフトウェアが信頼で
きないため、セキュリティチームは動きがとれなくなります。これはホストベースセキュリティが時代遅
れだと言っているのではなく、ホスト階層には多層防御の追加機能が必要であると指摘しているので
す。
上記ポイントは一般的なネットワークセキュリティに適用できます。しかし、特に次世代ファイアウォー
ルはボットネットとの戦いに最重要追加機能として「回避技術が使われていようと、ネットワーク上のす
べてのトラフィックを高信頼で可視化および制御」を提供します。ネットワーク上の全トラフィックで完全
なスタック動作を理解することで、ボットネットが見つからないままとならないようにしつつ、企業環境で
許可される動作を細かく制御することができます。ボットが機能するには非常に簡単な会話をする必
要があり、これら証拠となる通信を見つけることがボットネットや企業への脅威を制御する重要な要素
となります。次世代ファイアウォールはシグネチャだけでなく、アプリケーション分析の継続的処理、復
号化、デコーディング、ヒューリスティックによりトラフィック分類を行い、正確な識別情報を決定するた
め徐々にトラフィックストリームの中身を解析します。ポート番号や暗号化に依存せずに未知のトラフィ
ックを特定し分析するこの機能は本来の次世代ファイアウォールの特徴を定義しており、これまで見て
きたように、この機能はボットネットとの戦いにおいて非常に重要です。
© 2010 Palo Alto Networks
Page 8
さらに真の次世代ファイアウォールは脅威防御を完全統合したアプローチを提供します。単に一つの
ボックスに複数セキュリティ機能を混在させるのではなく、これら機能を正しく協調させるという違いが
あります。たとえば、アプリケーション ID、マルウェア検知、侵入防御、URL フィルタリング、ファイル種
別制御、コンテンツ検査がすべて統一された処理に統合されるべきです。この統合により、個々の技
術が提供するよりもはるかに合理的で確実なボットネットの解釈が可能となります。この集団知能は未
知の脅威兆候を認識し理解するために必要とされます。
ボットネット感染の防御
企業が最新のマルウェアを制御するのに取り得る最重要ステップは、感染経路を減らし、ボットネット
の隠れようとする機能を取り除くことです。今日のボットネットによって使われる感染経路の大半は実
質的に精査されていませんし、ボットネットのトラフィックは一般に、通常のネットワークトラフィックの一
部に溶け込むことができるくらい小さいです。全体の可視化と、どのトラフィックがどの理由でネットワ
ーク流入を許可されるかの正確な制御を取り戻すことで、セキュリティチームが2つの目的を両立させ
るのに大きく役立たせることができます。
攻撃面の縮小
企業にとって重要な第一ステップは、ポジティブコントロールモデルに戻すことです。ポジティブコントロ
ールは必要としないすべてのトラフィックをブロックすることとは対照的に、必要とする特定トラフィック
を許可することを意味します。ポジティブコントロールの概念は長い間、他のネットワークセキュリティ
からネットワークファイアウォールを分離する定義特製の一つとされてきました。たとえば、Telnet を使
用したい場合、他のトラフィックを許可せずに 23 番ポートを開きます。残念ながら、アプリケーションが
80 番、443 番、53 番といった通常オープンなポートを使ったり、利用可能な非標準ポートを選んで使
ったりするようになり、従来のファイアウォールは高い信頼性でポジティブコントロールを行えなくなって
きています。
企業の攻撃面を大幅に縮小し、全体的リスクを軽減する簡単な方法を提供するということで、ポジティ
ブコントロール実施はマルウェアとの戦いに不可欠なツールです。アプリケーションの数と多様性が爆
発的に増えており、それらのほぼすべては何かしらのリスクを含んでいるというのが実情です。
Web2.0、ウィジット、各種スクリプトオプションの増加は、個々のユーザに強力なアプリケーションやサ
ービスを開発する権限を与え、そのほとんどが他のアプリケーションやサイトへ接続したり、そこで使
用されたりするよう設計されています。さらに悪いことに、これらの毎日のように書き込みが行われる
わずかなアプリケーションが企業の真の価値を持っているのです。ポジティブコントロールモデルを組
み込むことで、セキュリティチームはブロックしたいすべてのアプリケーション情報を得ていくのではなく、
承認されたアプリケーションの有効化に専念することができます。このアプローチでは、ボットネットが
ネットワークへ侵入する経路を劇的に削減しながら、ネットワークに触れない多数のアプリケーションを
直ちに排除することができます。
© 2010 Palo Alto Networks
Page 9
Tips
真の次世代ファイアウォールとは?
現在、パロアルトネットワークスの次世代ファイアウォールは最新のアプリケーショントラフィ
ックを正確にポジティブコントロールできる唯一のファイアウォールです。単純にポートを開
け閉めするのではなく、より洗練された信頼性の高い方法でトラフィック識別を行うよう進化
したファイアウォールが必要です。他のファイアウォールベンダと異なり、パロアルトネットワ
ークスは一から作り直し、ポート番号とプロトコルだけに依存するのではなく、アプリケーシ
ョンレベルですべてのトラフィックを分類する新しい分類機能を開発しました。しかし次世代
ファイアウォールであっても、ポジティブコントロールを実施するのはスイッチをオンにする
だけの簡単なものではありません。従業員により使用される一部のアプリケーションは、見
ただけではその価値が分からないものもあります。このように、承認されたアプリケーション
とユーザの役割の適切な組み合わせを定めるため、IT 部門とセキュリティチームは組織内
の様々なグループと相談する計画を立てる必要があります。
さらに Facebook など一部のアプリケーションは、従業員によるプライベート利用だけでな
く、会社による顧客や見込み客との連絡手段としても利用でき、ビジネスとプライベートの
両方で使われることになります。このような場合、特定ユーザのみがアプリケーションにア
クセスできるようにするか、承認された特定機能のみにアプリケーション利用を制限するよ
うポリシーを改善するとよいです。
このアプリケーションを安全に利用できるようにする考え方は、本文書の後のセクションで
説明します。
まとめ - 攻撃面の縮小


企業のニーズや文化をもとに承認されたアプリケーションやその使用法に関するポリシーを確立
する
 ネットワーク上に存在するアプリケーションやプロトコルなどの基準を規定する
 どのようなアプリケーションが使用されているか
 どのようなアプリケーションがビジネスに必要で、誰が使用する必要があるか
 どのビジネス/プライベート共用またはプライベート用アプリケーションを企業で許可したいか
全トラフィックにポジティブコントロールを実施
 不必要な、または高リスクのトラフィックを止める
 ポート回避技術や暗号化に依存しない
未知の通信を分析
企業がネットワーク上で承認されたトラフィックを正確に分類する能力を取り戻した後は、ネットワーク
内に残った未知のトラフィックを調査する元の情報が得られます。未知のトラフィックの存在と振舞い
はボットネットの識別において重要な手掛かりとなり、これは多くの場合独自暗号化や独特な振舞い
に伴う “unknown” トラフィックとして示されます。
すべての unknown udp を調査
© 2010 Palo Alto Networks
Page 10
次世代ファイアウォールにはネットワーク上で未知のトラフィックを検出し、分析する能力が必要です。
同一のクライアントマシンから定期的に未知のトラフィックが送信されていたら、ユーザが使用している
正規アプリケーションがボットネットに感染していないか調査する必要があります。またトラフィックがど
こへ送出されるかを調べることができます。マルウェア配信サイトまたは SNS サイトとして知られるウ
ェブサイトに接続しているか?目立った頻度で送信されているか?未知の URL においてファイルのダ
ウンロードやアップロードを試行していないか?これらの振舞いによってボットに感染しているクライア
ントマシンの存在を特定することができます。ネットワーク上で承認されたトラフィックを正確に識別す
るために次世代ファイアウォールを使用することで、 “unknown” トラフィックの量は限定され、その結
果潜在的に悪意あるボットネットトラフィックを即座に発見し、分析できるようになります。
この手法は、企業において未知のボットネットを特定するのに有効であると既に証明されています。実
際に、Mariposa ボットネットの初期発見の一つはパロアルトネットワークスの顧客による発見であり、
このとき顧客はこの手法によりネットワーク内の未知のトラフィックを徐々に調査、分類していました。
未知のトラフィックの分析は次項で詳しく説明するボットネット行動レポート (Behavioral Botnet
Report) を使って自動化することができます。
Tips
未知の通信の追跡
パロアルトネットワークスのファイアウォールにより未知のトラフィックの調査と制御が容易
になります。トラフィックが送信される場所と量、関連する URL カテゴリ、誘発された脅威や
マルウェアのシグネチャ、ファイルが転送されたかどうか、といった情報を含め、未知のトラ
フィックを他のアプリケーションと同様に追跡、分析、制御することができます。詳細分析や
パロアルトネットワークスの脅威研究チームに渡すために、ユーザは未知のトラフィックの
PCAP をキャプチャすることができます。行動的ボットネットは、ボットに感染していると思わ
れるコンピュータを識別するために、自動的に共通のボットネット動作を結びつけることもし
ます。この機能は、後のセクションで詳細に説明します。また、パロアルトネットワークスは
承認されたアプリケーションを unknown として表示させないようにするため、カスタムアプ
リケーションに分類するよう設定することもできます。パロアルトネットワークスのファイアウ
ォールでは、ユーザがカスタムアプリケーション用に独自の App-ID を記述することもでき
ます。トラフィックの大部分を、時間をかけて十分に識別し、制御して unknown を無くすこと
ができます。
まとめ - 未知の通信を分析

未知 (unknown) のトラフィックを調査
 トラフィックの送信元と宛先、トラフィックの量
 URL、IPS、マルウェア、ファイル転送の記録との関連付け
 内部アプリケーションやカスタマイズしたアプリケーション用に、必要に応じてカスタム App-ID
を定義する
 識別できない、一般に利用可能なアプリケーションについては PCAP をキャプチャし、パロア
ルトネットワークスへ提供する
 潜在的なユーザの不正行動や潜在的なボットネットの振舞いに対して “unknown” トラフィック
を調査する
有効化アプリケーションの制御
ボットネットのライフサイクルにおいてアプリケーションは不可欠であり、初期感染時のみでなく、その
後のボットネット指揮管制においても重要です。マルウェアとアプリケーションの関連性は新しいもので
© 2010 Palo Alto Networks
Page 11
はありません。これまでのマルウェア有効化アプリケーションは業務電子メールでした。ウイルスと電
子メールはセキュリティの観点から密接に関わりあってきました。電子メールは引き続き攻撃者によっ
て使われてはいますが、このようなアプリケーションは通常企業によって厳重に保護され、メールサー
バで処理する間にかなり詳細にメールメッセージを分析することができてしまうため、攻撃者にとって
徐々に利用価値が失われてきています。現在、ボットネット運用者は電子メールよりもずっと柔軟性の
ある、リアルタイムでユーザと対話し、より遠隔から利用できるアプリケーションに標的を移しています。
アプリケーションはすべて同じようには作られておらず、ボットネット所有者は隠れながらソーシャルエ
ンジニアリング(人を欺く行為)を容易に実施するというボットの究極の目的を幇助するアプリケーショ
ンに引き寄せられています。SNS とプライベート利用のアプリケーションはこれら両方の条件を満たし、
マルウェア感染とその後受ける指令の最も多い発信元となっています。これには、SNS アプリケーショ
ンそのもの、Web ベースの電子メール、インスタントメッセージングアプリケーション、ピアツーピアネッ
トワーク、各種ファイル転送アプリケーションなどが含まれます。これらアプリケーションはさまざまな方
法で簡単に情報共有するよう設計されており、ユーザはオフィス以外での使用に慣れている可能性が
あるため、多くの場合これらアプリケーション利用に無頓着です。これは攻撃者に調査開発する多数
の感染オプションを与えてしまいます。
SNS アプリケーションは、攻撃者が友人や同僚になりすまして何も知らない被害者に危険なリンクをク
リックするよう誘導することができるソーシャルエンジニアリングに対する理想的な環境も与えます。こ
れらすべてに対して、マルウェア感染は無分別なクリックに無防備なユーザを引きずり込むことを当て
にし続けています。電子メールの添付ファイルを開く代わりに、ツイート内のリンクやや友人からのもの
であると表示される Facebook ページ上のリンクのクリックかもしれません。危険なリンク読込みが可
能なクロスサイトスクリプティングや FireSheep のようなスニフィング(トラフィック傍受)技術を友人間
で使うことで、ハッカーは SNS アカウントを引き継ぐことができます。
SNS とマルウェアの関係は現実世界で確認されています。Information Warfare Monitor と
Shadowserver Foundation による研究では、ボットネットのライフサイクルにおける SNS アプリケー
ションの役割に関して説得力のある証拠を提示しています。2010 年に “Shadows in the Cloud” とい
う論文で、研究グループはカスタマイズされたボットネットを使用し、あるネットワークに的を絞って永続
的侵入を追跡しました。彼らの分析では、指揮管制サーバとの直接通信をほとんど行わないボット感
染コンピュータが見つかりました。代わりに、感染したホストから最初に発生したマルウェアトラフィック
は人気のあるブログ、Google グループ、Twitter アカウント、Yahoo!メールのアカウントへ行っており、
「異常のない」トラフィックにマルウェア通信が紛れ込んでいました。ボットネットは多くの場合、ネットワ
ーク内で異常がなく目立たないトラフィックと見なされるものに紛れ込もうとするという重要な事実が示
されたのです。無害なブログに投稿しただけに見えるユーザをセキュリティ管理者はどれだけ調査す
るでしょう?
SSL への移行
インターネットやクラウドコンピューティングへの依存は、さまざまな技術や産業における SSL の普及
を後押ししています。SNS サイトはユーザ通信を保護するためにデフォルトで SSL を使用することで、
マルウェアを隠蔽しやすくしています。ハッカーによる盗聴や保護されていない HTTP セッションのハ
イジャックを考えれば、SSL 暗号化は必要な機能です。FireSheep といったツールはセッションハイジ
ャックプロセスを誰にでも簡単にし、ウェブ上でのプライバシーの概念を脅かします。一方、ほとんどの
企業は動的に SSL 暗号化通信の中身を確認することができないため、SNS トラフィックは事実上企
業には見えることができません。ユーザは SNS トラフィックのプライバシーを確保できますが、その処
理において最新のマルウェアが好むサイトとアプリケーションに対する目に見えない通信インフラを確
立してしまうのです。デフォルトで SSL を使うようになったことは、BitTorrent のような P2P アプリケー
ションが過去数年間そうであったように、攻撃者にとって SNS アプリケーションを現実的に価値あるも
© 2010 Palo Alto Networks
Page 12
のにします。パターンは全く同じで、エンドユーザがプライベート利用したくなる暗号化された通信チャ
ネルです。
Tips
有効化アプリケーションの制御
パロアルトネットワークスは、マルウェアを有効化してしまうアプリケーションの使用を制御
し保護するためのツールと機能を提供します。単にブログ、Web メール、IM、SNS アプリケ
ーションへのアクセスをすべて遮断するのは非現実的であり、外部と通信し接続を維持す
る企業の権限を不当に制限してしまうので、安全にアプリケーションを利用できるようにす
るために、企業にとってこの機能は重要な要件です。
ユーザベースのアプリケーション制御: 安全にアプリケーション利用する最初の手順は、ア
プリケーションが必要とする承認を得たユーザまたはユーザグループにアプリケーション利
用を制限することです。たとえば、Facebook やその上で動くアプリケーションへのアクセス
は会社のオンライン ID を管理する責任のある営業チームとマーケティングチームに限定
し、他の従業員は許可しないかさらに厳しい制限を設けることができます。これにより企業
の攻撃面をさらに縮小し、感染リスクを減らすことができます。
アプリケーションを特定機能のみに制限: 余計なリスクを背負ってしまう特定機能の使用を
防ぎつつ特定アプリケーションを許可する選択をすることもできます。たとえば、SNS アプリ
ケーションへのアクセスは許可するが、投稿機能の無効化、ファイルのダウンロードや、他
のアプリケーションのトンネリングやユーザデスクトップ共有といったリスクある振舞いをア
プリケーションに行わせないようにすることができます。この対策では、特定ターゲットに転
送されるマルウェア通信に対して大幅な動作制限をすることができます。
ドライブバイダウンロードの防止: 多くの場合、ターゲットとなるエンドユーザもどこで最初に
ファイルをダウンロードしたか認識していません。ユーザは感染したウェブページによって
バックグラウンド(ユーザ操作のないソフトウェア処理)でそのサイトから簡単にファイルを自
動ダウンロードしてしまいます。
これは一般にドライブバイダウンロード (drive-by download) と呼ばれ、正当なウェブペー
ジでも感染していると起きてしまいます。パロアルトネットワークスのドライブバイダウンロー
ド保護機能は、ユーザが実際にファイルをダウンロードする意図があることと、そのファイル
がユーザの知らない間にダウンロードされていないことを確認するよう促すことによって、こ
の種の感染源から保護します。この機能はリンクが脆弱性攻撃を行うサイトにリダイレクト
され、その後バックグラウンドでマルウェアやドロッパーをダウンロードさせるという SNS 攻
撃に対して非常に有効です。
選択的な SSL 復号化: 次に、SSL 暗号化通信に対処する手段を企業は確立する必要が
あります。パロアルトネットワークスの次世代ファイアウォールはオンボックスの SSL 復号
化を提供し、他のパロアルトネットワークスの機能のように、アプリケーションやアプリケー
ションタイプによって利用選択できます。これにより、SSL 復号化やコンテンツ検査に関して
特に SNS アプリケーションを対象とすることができます。金融やヘルスケアサイト宛のトラ
フィックに対して個人情報の復号化を避けるために、URL フィルタリングカテゴリを使うこと
もできます。
© 2010 Palo Alto Networks
Page 13
まとめ - 有効化アプリケーションの制御





既知の「悪い」アプリケーション使用防止
 P2P
 必要なユーザ/グループにアプリケーション利用制限
危険機能の使用防止
 ファイル転送
 デスクトップ共有
 他のアプリケーションのトンネリング
ドライブバイダウンロード防止と、その機能を使うユーザの教育
アプリケーションや URL カテゴリに基づき選択的に SSL を復号化
 SNS、ウェブメール、インスタントメッセージを復号化
 ヘルスケアや金融債とからの通信は復号化しない
すべての許可された危険なアプリケーション通信を検査し制御
 侵入および脅威の防御
 マルウェア対策
 URL フィルタリング
回避アプリ使用の防止
前項ではエンドユーザと企業が使用するマルウェアを取り込み得る一般的な Web2.0 アプリケーショ
ンに着目しました。しかし、従来のネットワークセキュリティを中断することなく通過するよう意図的に設
計された第二のアプリケーションがあります。これにはリモートデスクトップ技術、プロキシ、専用の回
避アプリケーションなど厳格に管理する様々なものが含まれます。
これらアプリケーションのいくつかは企業用途として有益ですが、一方で許可できない危険な動作の
兆候も確実にあります。すべての場合、企業への管理されない攻撃経路を開かないようにするため、
IT 部門による厳格な管理が必要となります。
リモートデスクトップ技術はエンドユーザだけでなく IT 部門やサポート部門でも非常によく使われます。
ほとんどの Web 会議アプリケーションにもユーザ PC 上でリモートユーザが制御できる機能が追加さ
れています。このような技術には 2 つのリスクが内在します。まず、ユーザが自身のリモート PC に接
続するとき、ファイアウォールでトラフィックが検査されずにどの宛先へも、どのアプリケーションを使っ
ても自由にネット接続できてしまいます。リモートデスクトップを使うとポリシー回避できるだけでなく、
ユーザが遠隔から危険行為を実施でき、企業内部 PC にトンネル接続するという非管理攻撃経路を
開いてしまいます。次に、リモートデスクトップ技術は、外部ユーザが企業のトラステッド(信頼された)
ネットワーク内のコンピュータへのフルアクセスを取得してしまうというリスクを持ちます。この種のリモ
ートコントロールは最初の段階におけるマルウェアの達成目標であり、侵入を誘発するのが明らかで
ある危険な開口部を生成してしまいます。
© 2010 Palo Alto Networks
Page 14
SSH のような、企業内で有効利用されるものの、誤用・不正利用・よく分かっていないユーザによる利
用によって意図しない脅威が簡単に生成されてしまう企業アプリケーションもよく目にします。たとえば、
ほとんどの企業はデータセンタ内のシステムやアプリケーションを管理するのに SSH を使用します。
しかしデータセンタへのトンネル接続に SSH が使用されている場合、企業の最重要資産へアクセス
する直接的な非管理経路となり得ます。企業においてこれらアプリケーションは承認された一部のユ
ーザのみ利用するよう厳重規制し、トンネリング機能は厳密に制御する必要があります。
さらに、Web プロキシアプリケーションや暗号化トンネリングアプリケーションは、その主な目的がファ
イアウォールや他のセキュリティ装置を回避する安全な匿名通信を行うことへと進化してきました。
CGIProxy や PHProxy のようなプロキシ技術は、企業にコントロールされず安全に Web 通信する比
較的簡単な方法をユーザに提供し、75%以上の企業ネットワークで発見されています。UltraSurf、
Hamachi、Tor のようなものはセキュリティ装置を回避するための専用アプリケーションで、検出されな
いよう定期的に更新されます。これらのアプリケーションを企業内で使用する正当な理由はほとんどな
く、存在しているのであればそれは意図的に企業セキュリティを回避しようとしていることが考えられま
す。これらツールは検査を避けてトラフィックを通過させるだけでなく、非常に高いマルウェア感染リス
クを伴うファイル共有などのリスクの高い振舞いや明示的にブロックされるコンテンツやサイトの閲覧
に使用される傾向にあります。したがって、これらアプリケーションはほぼすべての場合ブロックする必
要があります。
Tips
回避ツールの制御
リモートデスクトップ: パロアルトネットワークスの次世代ファイアウォールによって、企業は
ポリシーによって自動的にリモートデスクトップの様々な技術を制御することができます。他
のアプリケーションと同様に、複数のリモートデスクトップ技術がグループ化されているた
め、アプリケーションフィルタを作成することで容易に制御することができます。新しいリモー
トデスクトップアプリケーションが市場に出回った場合、パロアルトネットワークスが適切な
フィルタカテゴリにマッピングされる新しい App-ID をリリースすることで、ユーザは自動的
に新しいアプリケーションから保護されることになります。
さらにリモートデスクトップアプリケーションはユーザベースの制御に向いています。たとえ
ば仕事にリモートデスクトップを必要とする IT 部門とサポート部門はこれらアプリケーション
を使用でき、他の従業員は使わせないようにすることができます。
SSH: パロアルトネットワークスの次世代ファイアウォールは企業ポリシーに基づき SSH を
制御することができます。本当に必要とする IT 部門のユーザのみに SSH の利用を制限
することができるということです。また SSH を完全にブロックせずに、SSH のトンネリング
機能のみを選択的に無効にすることもできます。企業宛に開放されたトンネルを生成するリ
スクを生じずに必要なツールを利用させることが可能です。
暗号化プロキシ: 暗号化プロキシは制御とブロックという面で最も困難なアプリケーションで
あるといえ、アプリケーションリサーチチームの質がはっきり分かる分野です。UltraSurf、
Hamachi、Tor といったアプリケーションはもともと検閲制御を回避するために設計されまし
たが、従来のセキュリティを回避する機能がハッカー集団とつながるようになってきました。
さらに悪いことに、これらアプリケーションは定期的にセキュリティ技術による検出を避ける
ために更新されます。ファイアウォールベンダは継続的にこれらアプリケーションを追跡し、
適宜にセキュリティ対策のアップデートを行う責任があります。現在、パロアルトネットワー
クスはこれらアプリケーションすべてを検出し阻止する唯一の次世代ファイアウォールで
す。さらにパロアルトネットワークスの研究者は継続的にこれらアプリケーションの変更を追
跡し、第一線のハッキングツール使用を阻止するため必要に応じて App-ID を更新してい
ます。
© 2010 Palo Alto Networks
Page 15
まとめ - 回避ツールの制御




リモートデスクトップの利用制限
 IT 部門のみ
SSH を安全に有効化
 SSH トンネリングを防止
承認されないプロキシ使用のブロック
暗号化トンネルのブロック
 UltraSurf
 Hamachi
 毎週の App-ID アップデート
リモートユーザの保護
これまで、ネットワークが内部と外部に明確に分離された従来型のネットワークトポロジというのが前
提でした。しかし、企業コンピュータは従来の物理的境界を越えて到達するよう進化してきました。ユー
ザはノートパソコンを家に持ち帰り、文字通りどこからでも接続して仕事できることを望んでいます。ユ
ーザがどの場所からでも同じように作業できることを期待している状況では、セキュリティ上の方針に
不均衡を生じますが、セキュリティ製品 (ファイアウォールや IPS など) の大半は企業ユーザがこれま
ででいう物理的境界内部に存在する場合のみに適用されています。さらに悪いことに、自宅での仕事
はユーザを無意識のうちにプライベートな利用に戻すため、多くの場合オフィス内にいるよりも外の方
がユーザの Web ブラウジングやアプリケーション動作はリスクが高い傾向にあります。この動作によ
り非常に危険なリンクのクリックやドライブバイダウンロードを引き起こすサイトにアクセスする可能性
が高くなります。
Tips
GlobalProtect
パロアルトネットワークスの GlobalProtect は、ユーザが企業の物理境界を越えてローミン
グするとき、従来の企業セキュリティとセキュリティの相対的な欠如のギャップを埋めること
に注力します。つまり G リモートユーザや移動中のユーザが GlobalProtect によって企業
ファイアウォールと接続したままにすることができます。これにより同じアプリケーションベー
スファイアウォール、IPS、マルウェア防御、URL フィルタリング、ボットネット検出機能がす
べてのユーザトラフィックを受信できます。GlobalProtect ソリューションはユーザに対して
透過的で、ユーザがどこにいようとも強力なパフォーマンスと有用性を確保するため企業内
の全パロアルトネットワークスファイアウォールを活用します。また GlobalProtect により、
オフィスにいても喫茶店にいても、ユーザを感染から保護するドライブバイダウンロード防
御といったすべての次世代ファイアウォール機能へアクセスできるようにします。ユーザが
どこにいようと、ポリシー実施と脅威防御の両方の観点から同じ最終結果が得られます。
まとめ - リモートユーザの保護



ユーザの場所に依存せず企業ファイアウォール機能および脅威防御をすべて実施
 リモートユーザ保護のため GlobalProtect を導入
ドライブバイダウンロードの防御を実施
ユーザの場所に基づいてカスタマイズされたポリシーを適用
 リモートにいる場合、セキュアなシステムからファイルをダウンロードさせない
© 2010 Palo Alto Networks
Page 16
感染ホストの検知
セキュリティ部門が最善の対策を行っているにもかかわらず、企業のパソコンは必然的にマルウェア
に感染します。これは未知のマルウェアや未知の攻撃経路の経由、または USB ドライブなどの物理
的接続による可能性があります。マルウェアは長年の実績があり、世界で最もセキュリティの高いシス
テムであっても感染する可能性があります。結果的に、ユーザは感染している前提で、ネットワーク内
で感染ホストを発見するのに必要なスキルを身に付けることが重要です。マルウェアが従来のマルウ
ェアシグネチャをすり抜け、既に感染したコンピュータのルート権限を持っているかもしれないことを考
えると難しい作業になります。
これらの感染ホストを特定するため、マルウェアシグネチャの代わりにネットワーク上で観察される行
動の分析に焦点を移す必要があります。機密性や独創性の面で、ボットネットは機能するための通信
を行う必要があり、それを発見しにくく、追跡しにくくする必要があります。ボットが未知のものであって
も、これらの基本要件を使ってボットのトラフィックや通常のエンドユーザのトラフィックから逸脱した行
動を識別するパターンを作ることができます。
指揮管制トラフィックの検知
次世代ファイアウォールの主な利点の 1 つは、アプリケーションレベルでトラフィックの複雑な流れを
分類することができることです。これには本来のアプリケーションが識別されるまでプロトコル内部で動
作するプロトコルをカプセル解除するようトラフィック内をスキャンする機能が含まれます。特定のボッ
トネットが独自に使う指揮管制トラフィックを識別する場合、複雑なトラフィックを識別するこの機能は非
常に重要です。あらゆる意味でボットネットはアプリケーションであり、その独自性のあるトラフィックは
パロアルトネットワークスにより識別可能です。指揮管制トラフィックの検出は、脅威防御モジュールの
不可欠な要素であり、他の脅威およびコンテンツの更新とともに定期的に更新されます。
ボットネット検出への IPS 活用
パロアルトネットワークスでは、マルウェア内の特定要素に基づき潜在的なポリモーフィック型マルウェ
アを識別する各種追加機能もあります。たとえば非常に有名で成長している銀行ボットネットの
SpyEye は、継続的にサイズを変更できるようスペースを確保し、結果として署名を変更します。しかし
SpyEye はボットを更新するため暗号化されたコンフィグファイルを定期的にダウンロードします。パロ
アルトネットワークスの研究者は、このコンフィグファイルを解析でき、IPS がマルウェア自体を認識し
ていなくてもボットの存在を識別することが可能なパターンをコンフィグファイルから発見できました。こ
れは IPS とマルウェア検知が最新の脅威検知で関係する一例です。
ボットネット行動レポート
前述の調査手法が重要であるものの、多くの企業はその作業を行う時間がありません。パロアルトネ
ットワークスのボットネット行動レポートでは、ボットの存在を示す行動を追跡し、相互関係を示すプロ
セスを自動化します。この機能では以下に要約される特徴を基に検査します。
 Unknown TCP/UDP: 前述の論文で見られるように、ボットネットトラフィックは通常暗号化され、
未知のものです。パロアルトネットワークスはすべてのトラフィックを識別するため、未知の TCP
通信 (Unknown TCP) および未知の UDP 通信 (Unknown UDP) を追跡することでボット感染コ
ンピュータを発見する手掛かりとなります。管理者がセッション、宛先、バイト数によって未知の通
信をトラッキングできます。
 ダイナミック DNS の存在: マルウェアは多くの場合、ボットネット通信の追跡を難しくさせるため
にダイナミック DNS を使用します。絶え間なく変化する IP アドレスのリストを持つ複数の感染ホ
スト間でトラフィックを折り返すことにより、ボットの経路と本来の送信元および宛先を追跡するの
は非常に困難になります。
© 2010 Palo Alto Networks
Page 17




既知のマルウェアサイトとの通信: URL フィルタリング機能の一部として、パロアルトネットワーク
スは意図的であるかを問わず不正なソフトウェアをホスティングしているサイトを常時追跡します。
パロアルトネットワークスは、ユーザが繰り返しこのようなサイトにアクセスしファイルをダウンロ
ードしようとしていないか追跡することができます。
最近登録されたドメインへのアクセス: ボットネットは、検出を避け、サーバが検出されたり無効に
されたりしたときに復旧するよう常に動き続けています。そのため多くの場合、指揮管制機能をサ
ポートするために新しいドメインを使用する必要があります。新しく登録されたドメインに繰り返し
アクセスするユーザが決定的に感染しているとはいえませんが、感染を裏付ける証拠となる場合
もあります。
URL ではない IP ドメインへのブラウズ: 同じように、通常 URL を使うユーザとは対照的に、ボッ
トは通信するのに決められた IP アドレスや既知の IP アドレス範囲をよく仕様します。新しく登録
されたドメインの追跡と同様に、IP ドメインの使用を追跡することで、職場における人間ではない
ボットの存在を表すことができます。
IRC 通信: IRC トラフィックはボットに対する最も有名な通信方式で、ボット検知データと関連付け
る補足情報となります。
ボットネット行動レポートは、上記すべての要素を基に、ボットに感染している可能性のあるホストを検
出するため自動で関連付けを行います。実行すると、分析の一因となった行動とともに感染していると
思われるコンピュータまたはユーザのディレクトリ上のユーザ名をレポート表示します。また、各ユーザ
は上記要素のうちいくつに関連しているかに基づきスコアが提供され、感染している可能性の最も高
いデバイスに注力することができます。
推奨事項のまとめ
ポジティブコントロール確立と未知の通信分析



企業のニーズや文化をもとに承認されたアプリケーションやその使用法に関するポリシーを確立
する
内部アプリケーションやカスタマイズしたアプリケーション用に、必要に応じてカスタム App-ID を
定義する
潜在的なユーザの不正行動や潜在的なボットネットの振舞いに対して “unknown” トラフィックを
調査する
有効化アプリケーションの制御





既知の「悪い」アプリケーション使用防止
 P2P
 必要なユーザ/グループにアプリケーション利用制限
危険機能の使用防止
 ファイル転送
 デスクトップ共有
 他のアプリケーションのトンネリング
ドライブバイダウンロード防止と、その機能を使うユーザの教育
アプリケーションや URL カテゴリに基づき選択的に SSL を復号化
 SNS、ウェブメール、インスタントメッセージを復号化
 ヘルスケアや金融債とからの通信は復号化しない
すべての許可された危険なアプリケーション通信を検査し制御
 侵入および脅威の防御
 マルウェア対策
 URL フィルタリング
© 2010 Palo Alto Networks
Page 18
回避ツールの制御




リモートデスクトップの利用制限
 IT 部門のみ
SSH を安全に有効化
 SSH トンネリングを防止
承認されないプロキシ使用のブロック
暗号化トンネルのブロック
 UltraSurf
 Hamachi
 毎週の App-ID アップデート
リモートユーザの保護



ユーザの場所に依存せず企業ファイアウォール機能および脅威防御をすべて実施
 リモートユーザ保護のため GlobalProtect を導入
ドライブバイダウンロードの防御を実施
ユーザの場所に基づいてカスタマイズされたポリシーを適用
 リモートにいる場合、セキュアなシステムからファイルをダウンロードさせない
感染ホストの検知



ユーザの場所に依存せず企業ファイアウォール機能および脅威防御をすべて実施
 リモートユーザ保護のため GlobalProtect を導入
ドライブバイダウンロードの防御を実施
ユーザの場所に基づいてカスタマイズされたポリシーを適用
 リモートにいる場合、セキュアなシステムからファイルをダウンロードさせない
まとめ
ボットネットはマルウェアの世界と最新のネットワーク攻撃手法を変えてきました。これらの脅威は、こ
れまでのマルウェアに見られなかった知能、回復性、規模を示し、従来のセキュリティを回避すること
に精通しています。これらの脅威を制御することは、複数のセキュリティ機能が必要になります。単一
のソリューションではボットネット問題を解決できませんが、次世代ファイアウォールでは独自の可視
化と制御、そして現在および将来の脅威を発見し阻止するのに必要な脅威防御機能を統合して提供
します。新しい技術が開発され、マルウェアが進化するように、これらの手法も進化し続けます。
ご利用の環境におけるボットネット制御や全体的なネットワークセキュリティの向上に関する支援につ
いて、ご意見やご質問をお気軽にお問い合わせください。
© 2010 Palo Alto Networks
Page 19