WEbPULSE連携型防御

セキュリティを
ビジネスの力に
ホワイトペーパー
WebPulse連携型防御
ネットワークをマルウェアからプロアクティブに防御
今日の密接につながり合った世界では、情報へのアクセスと共有の容易さによって、個人のライフスタイル、行政とのやり取
り、ビジネスの運営など、あらゆることが変化しています。この容易さは、人々の交流に情報を提供し、関係の構築を助け、
意志決定を改善し、世界に対する理解を形作ります。しかし、こうした日常的な情報交換は私たちにとって有益なだけではあ
りません。潜在的な攻撃者にとって宝の山にもなり得るのです。この情報のすべてと、コミュニケーションおよび相互交流に
おける新しい手段のすべてが、高度に組織化された意欲的なサイバー犯罪コミュニティにとって経済的利益を得るための巨
大な機会を意味しているのです。
新しい脅威の様相
スパム、詐欺、スパイウェア、およびマルウェアはすべて、ユーザーや会社を
その資産から引き離すことを目的としています。新しい脅威の様相は、組織化
された専門的なサイバー犯罪リングに属するハッカーの高度なネットワークに
よって定義されます。Sophosは「2011年セキュリティ脅威レポート」において、
マルウェアが毎年60%増加しており、新しいマルウェアサンプルが毎日150,000
個(つまり重複なしの新しいファイルがおよそ0.5秒ごとに1個)、新しい悪意の
あるURLが毎日19,000個生まれていると報告しています。この脅威の量に匹
敵するのはその精巧さだけです。サイバー犯罪者は、逮捕を逃れるために絶
えずその様相を変えます。熟練したセキュリティの専門家なら誰もが証言する
ことですが、防御側が何を予期するべきかわかったと思ったときには、攻撃は
何か別のものに進化しています。
攻撃者は、彼らとそのターゲットとの間にある種のブロックまたは制限を行う技
術が存在することを理解しており、それらの制限をバイパスするために懸命に努力
します。しかし、彼らは人々が現在どのようにWebを利用しているかを熟知しており、
その新しいユーザー行動を利用してサイバー犯罪を実行します。
WebPulse
連携型防御
ブルーコートシステムズ合同会社
今日の典型的なWeb閲覧セッションは、会社のセキュリティポリシーによって通常は
許可されている既知で信頼済みの人気Webサイトか検索エンジンから開始されま
す。Sophosはその2011年セキュリティ脅威レポートで、見つかった悪意のあるURL
の80%以上がサイバー犯罪者にハッキングされた正規のWebサイトであったことを明
らかにしました。ブルーコートのセキュリティラボによる2011年の調査では、Webの
脅威の配信手段として検索エンジンポイズニング(SEP:Search Engine Poisoning)
が1位にランクされました。
ブルーコートのセキュリティラボの最新の調査で、最大のリスクは汚染された検索エンジン結果からも
たらされることが判明しました。それ以外ではソーシャルネットワーキングが、従来のよく知られたマル
ウェア発信元(ポルノや電子メールなど)とほぼ同等にランクされています。
そしてもちろん、混雑した街角にスリがいるように、サイバー犯罪者は大多数の人
が集まる場所に出現します。ブルーコートによる最近の分析で、Web上で最もよく見
られるおとりは、FacebookやTwitterのフィードなど、ソーシャルネットワーキングア
プリケーション内に置かれています。生産性の問題は別として、ソーシャルネットワ
ーキングエコシステムは、詐欺師やサイバー犯罪者にとって一番のターゲットです。
一般に、このような脅威の有効性は、正規のサイト、一般的な検索結果、または信
頼された友人に由来するおとりやワナに基づいています。これらのおとりやワナは、
疑うことをを知らないユーザーをリレーと動的リンクによって構成される変わりやす
い複雑なネットワーク、つまりマルウェア配信ネットワークへと導きます。
1
ホワイトペーパー
セキュリティを
ビジネスの力に
従来のセキュリティが役に立たない理由
ニーズ: 新しいWeb行動に対応した新しい制御
新しい脅威環境に対する防御には、新しいインターネットに対する深い最新の理解
に基づいた、高度な攻撃の多数の潜在的攻撃ベクトルを識別できるアプローチが
必要です。また、Webの脅威の動的でスケーラブルな変化に遅れずについていく能
力も必要です。
検索エンジンポイズニング(SEP:Search Engine Poisoning)は、Webの脅威の配信
手段として第1位にランクされています。より具体的に言うと、画像検索がテキスト検
索を上回るようになり、マルウェア配信の最大要因となっているのです。そのため、
海賊版メディアを検索するユーザーが最大の懸念になると同時にサイバー犯罪者
にとって最大のターゲットとなっています。
従来のセキュリティの常識は、ネットワークの周囲に強固な城壁を築いて入口と出
口をファイアウォールで守るというものでした。その後ウイルス対策やWebフィルタリ
ングが付け加えられてきましたが、その結果、Webの脅威に対するセキュリティが2
つの原則に単純化されてしまいました。すなわち、主要な防御としてネットワークを
保護し、ユーザーがインターネットの危険な部分を訪問しないようにするという方法
です。組織はこの硬直的な防御モデルにおいて、Webを一連の安全または危険な
サイトまたはコンテンツタイプとして分類する静的なレピュテーションベースのURLフ
ィルタリングポリシーまたはコンテンツフィルタリングポリシーを適用し、その分類に
基づいて単にアクセスを拒否または許可するだけのフィルタリングを使用するよう強
いられることが多くなります。
しかし、今日の脅威環境ではこうした従来の防御では不十分です。理由は以下の
通りです。
•• レピュテーションに頼りすぎている:一見無害に見えるWebサイトが、サイレントバ
ックグラウンドリレーによって訪問者をマルウェアダウンローダーへ自動的に転送
する(訪問者が何もしなくても)ワナに感染している可能性があります。サイバー犯
罪者によって改ざんされた検索結果が返される可能性があります。攻撃者は、隠
されているか暗号化されているか既知の攻撃パターン(「シグネチャ」)と一致しな
いために実行を許可されるペイロードにユーザーをリンクさせる餌を使用します。
•• 変化についていけない:従来の防御は、過去のレピュテーションと既知のリスクに
基づいてWebサイトとコンテンツを安全または危険と分類しようとする絶望的に思
える試みに重点を置きすぎています。このような分類は静的になる傾向があり、
ある種のデータベースダウンロードまたは更新サイクル(毎週、毎日、または毎
時間)を通じてのみ変更されますが、これは十分な頻度ではありません。物事が
非常に急速に変化している現在、リアルタイムでの認識より遅いものはすべて遅
すぎるということになるでしょう。
WebPulse
連携型防御
これらの限界に対して、今日のネットワークの現実と概念、そして従来のセキュリテ
ィモデルではもはや解決できなくなった脅威という課題が突きつけられています。こ
のホワイトペーパーで前述したように、今日の現実に対応するには、新しい脅威環
境を理解してそれを防御するためにリアルタイムで動けるシステムが必要です。
ほとんどの従業員は、勤務中にソーシャルネットワーキングを利用できるようになる
と予測しています。実のところ、役割や職務によっては実際にそれが必要です。した
がって、現在のITにとっての前提は、もはや単にFacebookをブロックするだけでは不
適切だということです。しかし、IT部門はセキュリティと情報の伝達および共有との間
で妥協点を見出そうと奮闘しています。サイバー犯罪者はこれを知っていて悪用して
います。サイバー犯罪者はソーシャルネットワーキングの中で、友人に囲まれた人々
が油断してガードを下げたときに信頼済みの環境を裏切ることができます。
従来のWeb制御ポリシーおよびフィルタリングによる防御には以下のような問題が
あるため、この新しいWeb行動に関連するリスクからの保護は課題となります。
•• 検索結果をクリックしたときにどこへ導かれるかがわからない:ブルーコートのセ
キュリティラボの調査担当者が、マルウェアが潜んでいるカテゴリを調査した結
果、そのトップ5のうち4つまでが、通常は許容される利用と見なされてほとんどの
会社のITポリシーで許可されているカテゴリであることが判明しました。前述のよ
うに、サイバー犯罪は検索結果を積極的に汚染して、マルウェアホストへとつな
がる一連の常に変化する動的リンクおよびリレーへのエントリポイントとして利用
します。
•• ソーシャルネットワークの内部が見えない:友人からのソーシャルネットワーキング
メッセージは、実際にはアカウントの持ち主の資格情報を盗んだサイバー犯罪リン
グからの招待状かもしれません。そのメッセージにより、今度はあなたのアカウント
を悪用してあなたの友人に感染を広げようと試みているかもしれないのです。
多くの場合、マルウェア配信ネットワークへのエントリポイントと、高リスクと見なされ
ている行動は、ユーザーが訪問を許可されたカテゴリに属する、許可された許容さ
れる利用の範囲内にあります。したがって、新しい防御は、エントリポイントを越えて
マルウェア配信ネットワークの移り変わる短命なリンクやノードをすべて見通す必要
があります。また、ソーシャルネットワーキングのWebコミュニケーションエコシステム
の中に何があるかを理解して、特定のソーシャルネットワーキングドメイン内の特定
の活動およびアプリケーションを理解するポリシー制御を実現する必要もあります。
ブルーコートシステムズ合同会社
2
ホワイトペーパー
セキュリティを
ビジネスの力に
ブルーコートのWebPulse連携型防御
Blue Coat WebPulse™ は、ブルーコートのWebセキュリティ製品を通じてそのユーザ
ーにリアルタイムの評価を提供する、クラウドベースのコミュニティ主導型分析・評価
サービスです。2004年に登場したWebPulseは、世界中のこの種のセキュリティサー
ビスのうちで最も成熟したサービスの1つです。WebPulseは、すべての未確認サイト
およびページをWebPulseによる分析と評価への情報提供元として機能する7,500万
以上のユーザーで構成される世界的コミュニティを活用しています。WebPulseのコミ
ュニティは世界的であると同時に多種多様でもあり、個人ユーザーから企業ユーザ
ーまでさまざまなユーザーで構成されています。このコミュニティは、脅威の多様な
形態とマルウェア配信ネットワークへの多様な誘導メカニズムの両方を明らかにす
る、健全かつ広範な入力を提供する役目を果たしています。
WebPulseのクラウドアーキテクチャー
WebPulseは非常に健全な分析システムの設計原則に基づいています。
•• 入力:分析システムにおいて、サンプルのサイズが大きくなるほど分析が正確に
なることは明らかです。この世界的かつ多様な大量の入力は、毎日5億以上の
Webリクエストを処理するWebPulseシステムの大きな強みです。
•• 処理:他のあらゆる分析システム
と同様に、精度が重要です。独立
機関によるテストによって、マルウ
ェアの検出において最高精度を
誇るWebPulseが、WebPulseの次
に高精度のベンダーより約45%も
精度が高いことが明らかになりま
した。さらに、このシステムの目的
がリスクの排除であることを考え
ると、速度も精度と同様に重要で
す。したがってWebPulseには、ほ
とんどがリアルタイムで動作する
一連の自動化されたシステムと、
詳細なバックグラウンド評価分析が含まれています。
WebPulse
連携型防御
•• 出力:入力を見つけて分析した後は(特にそれば脅威や危険に関するものである
場合には)、できるだけ早く警告を発する必要があります。WebPulseは、平均して
1週間に12億以上の動的評価を出力します。
WebPulseを使用すれば、匿名でクラウドに投稿された情報を共有してブルーコート
のWebセキュリティ製品とそのユーザーのコミュニティに対してより正確な評価と保
護を迅速に返す強力なメカニズムを実現できます。
WebPulseクラウドの内部
ブルーコート自身の技術で、ユーザーコミュニティからの入力を自動的に分析して
潜在的に悪意のある行動を識別するために設計されたさまざまなツール、スキャ
ナ、バックグラウンドチェッカー、およびリアルタイム通知メカニズムが用意されてい
ます。脅威の検出については、アンチマルウェア、アンチウイルス、スクリプトアナ
ライザー、Web相関、サンドボックステクニック、Webトークンのマシン分析を含む16
の分析テクニックが連携してリアルタイムで動作します。この脅威検出の最強の機
能は、おそらくダイナミックリンク分析です。この分析ではエントリポイント(感染した
Webサイト、汚染された検索結果、改ざんされたソーシャルネットワーキングのリンク
など)を調べるだけでなく、マルウェア配信ネットワークを構成している常に変化する
リンクやリレーを通過していくリクエストを最初から最後まで追跡します。
ブルーコートは、300以上の言語カテゴリのリアルタイム評価ライブラリを開発しまし
た。このライブラリは業界で最大の自動化されたWeb評価技術の集積です。評価は
80以上のカテゴリについて提供され、1つのWebリクエストに対して最大4つの評価
が返されます(例:「ソーシャルネットワーキング」の中の「チャット/インスタントメッ
セージング」)。この事実は重要です。この詳細さがブルーコートの防御システムの
原動力であり、それによってWebフィルタリング技術に固有の制御機能を顧客のサ
イトで使用できるようになるからです。評価は55の言語で提供されます(そのうち19
言語はリアルタイム評価に対応)。最後に(そして決定的なことに)、ブルーコートの
自動化されたシステムは、世界中のブルーコートのセキュリティラボで働く専門家の
専門知識によって支えられ、また訓練されています。専門家はWeb上での疑わしい
行動について詳細な分析と、マルウェア配信ネットワークの働きに関する(配信され
るマルウェアペイロードについてだけでなく)深い洞察を提供します。
WebPulseが有効な理由
基本的な設計原則(入力の量と即時性)と、クラウドサービスマップを背景とする分
析の速度および精度が、WebPulseサービスによって支えられたブルーコートのWeb
セキュリティ製品を使用する人々に、以下のような明らかな利点を提供しています。
ブルーコートシステムズ合同会社
3
ホワイトペーパー
セキュリティを
ビジネスの力に
•• クラウド内の意識。クラウドでつながれたコミュニティに属する非常に多くの人々
が、多くのWebページを訪問して多くのリンクをクリックすることでインターネットの
より詳細な実像を提供し、他のいかなる方法よりもはるかに多くの改ざんされた
結果を見つけ出します。
•• 16階層の防御によるインテリジェンス。この規模の意識を活用できるWebPulse
は、16の高度な脅威分析レイヤとマルウェア配信ネットワークのダイナミックリン
ク分析を含む業界で最高の分析および脅威検出技術によって、Webベースの既
知および未知の脅威に対する即時および継続的保護を提供します。
•• オンデマンドでの配信。WebPulseは上記のインテリジェンスと意識によって、マス
タークラウドデータベースを常に最新の状態に保っているため、その結果をコミュ
ニティが即座に利用できるようにすることが重要です。これには、ダウンロードや
他の更新サイクルの必要なしで配信ができるクラウドサービスが適しています。
競合するどのアプローチよりも正確な脅威の分析と評価を、WebPulseがどのアプロ
ーチよりも迅速に提供することは明らかです。以下の独立機関によるテスト結果が
示すように、これは証拠によって裏付けられています。
ブルーコートに対する比率
マルウェア
フィッシング
Cisco/Iron Port
41%
39%
McAfee WG
30%
26%
Websense
44%
17%
Barracuda
7%
.08%
Fortinet
5%
8%
Palo Alto Networks
22%
3%
Broadband Testing社は、リアルタイムなクラウド防御に関するベンチマークテストに
おいて120億以上のWebリクエストを分析し、WebPulseによってマルウェアの発信元
またはフィッシング攻撃として識別された12,000件を、セキュアWebゲートウェイおよ
びUTM/ファイアウォールの大手ベンダーのソリューションと比較しました。
WebPulseの活用
WebPulse
連携型防御
ブルーコートシステムズ合同会社
ブルーコートの防御は、アプライアンス、クラウド、またはその両者を組み合わせた
ハイブリッドシステムとして導入され、WebPulseを活用してマルウェアが顧客のネッ
トワークに達する前に阻止します。WebPulseにおける現在の防御に対する新しい
防御や調整は、WebPulseクラウド内で即座に実施できるので、Webゲートウェイや
SaaS Webセキュリティユーザーの側でパッチやダウンロードや更新を行う必要はあ
1
1 2010年10月版ブルーコートセキュリティレポート、Broadband Testing社
りません。WebPulseはサイバー犯罪の変化についていくために拡張され、ブルーコ
ートのセキュリティラボによって管理されます。
WebPulseは、動的リンクとそれから配信されるコンテンツを分析するクラウドベース
のコミュニティ主導型マルウェア防御を提供することによって、多層型防御戦略の最
初のレイヤとして働きます。組織は、脅威に対して防御し、閲覧を制御し、コンプライ
アンスを実現するために、WebPulseに支えられたBlue Coat WebFilterを使用します。
ブルーコートの完全なハイブリッド型防御ソリューションには追加のレイヤが含ま
れ、アプライアンス内に導入されるか、クラウドサービスとして、または両者を組み
合わせたハイブリッドシステムとして導入されます。
脅威の検出
ブルーコートのWebゲートウェイアプライアンス内またはWebセキュリティクラウドサ
ービス内のプロアクティブな脅威検出エンジンは、WebPulseからの評価に基づい
て、受信されるすべてのWebオブジェクトを(オプションで送信されるWebオブジェク
トも)分析し、マルウェア、スパイウェア、および悪意のあるモバイルコードを見つけ
ることができます。コンテンツフィルタはファイル形式を確認し、実際のファイル形式
のチェックとコンテナの不整合の検出を実行して、疑わしい添付ファイルやファイル
形式があればそれを除去します。前述のように、未評価または疑わしいWebサイト
からのexeファイルのダウンロードは、ベストプラクティスに従ってブロックするべきで
す。Blue Coat ProxySGではWebリクエストのヘッダーと応答が可視化されているの
で、オプションでアクティブスクリプト/コンテンツフィルタをWebコンテンツに適用す
ることもできます。WebPulseは、リアルタイムおよびバックグラウンドのアクティブス
クリプト分析ツールを多数備えており、これらのツールは誤検出の問題を防ぐため
にセキュリティラボの専門家によって維持されています。インライン型脅威検出によ
り、Webメールの添付ファイルやソフトウェアのダウンロード、またはSSLで暗号化さ
れたトラフィックに含まれているマルウェアや脅威に対するさらなる防御が提供され
ます。インライン型脅威検出機能を備えたWebゲートウェイまたはWebセキュリティク
ラウドサービスは、さらにWebコンテンツがデスクトップに到達する前に防御する機
能を提供します。
定義済みポリシー
ブルーコートのセキュアWebゲートウェイアプライアンスとBlue Coat Cloud Service Web Security Moduleは両方とも、ユーザーまたはグループにマッピングされるすべ
てのWebトランザクションに対する総合的な可視化とコンテキストを(その結果として
4
ホワイトペーパー
セキュリティを
ビジネスの力に
の制御も)実現するために、全タイプのWebトラフィックの完全なプロトコル終端を提
供します。主要な11の認証方法をすべて統合することによって、アプリケーション、プ
ロトコル、コンテンツ、およびユーザーに関する詳細なポリシーを適用できます。
WebコンテンツとWebアプリケーションの制御
アプライアンス上、またはクラウドサービスとして実行されるブルーコートのWebフィ
ルタリングは、1つのWebリクエストに対して最大4つのカテゴリ評価を提供します。
これらのカテゴリは、認証手法によって人々またはグループに結び付けられたポリ
シーで、保護と詳細な制御を適用するために使用されます。ソーシャルネットワーキ
ングの場合は、そのカテゴリ内に45以上の二次評価が用意されています。これによ
り、ソーシャルネットワーキングカテゴリ内やFacebook.comなど特定のソーシャルネ
ットワークドメイン内で、ゲーム、チャット/インスタントメッセージング、Eメールなど
のカテゴリ対するポリシー制御が可能になります。新しいWebアプリケーションおよ
び操作の管理では、さらに一歩進んで、特定のWebアプリケーション名および操作
ごとにポリシーによる制御が可能です。操作の例としては、動画や画像のアップロ
ード、添付ファイルのアップロードやダウンロード、メッセージの投稿、電子メールの
送信などがあります。
ワナまたは餌を使用した攻撃
ワナを使用した攻撃は、正規のWebサイトが動的リンクに感染した場合や、無実の
ユーザーのソーシャルネットワークアカウントが訪問者に対して動的リンクを含んだ
「おすすめ」を送信するように求めたときに発生します。ワナは、問題のページを訪
問したり、リンクをたどったすべての人に感染し、何も気付いていない訪問者をひそ
かにマルウェア配信ネットワークへとリダイレクトし、多くのホップを挟んだ彼方にあ
るマルウェアホストへと導きます。
餌を使用した攻撃は、通常は一般的な検索エンジンで行った有効な検索の上位の
検索結果として、またはソーシャルネットワーク内の友人からの「おすすめ」として現
れます。サイバー犯罪者は、一般的なトピックに関する上位の検索結果を仕込み、
ウイルスをチェックするための(皮肉なことに)無料の偽ソフトウェアを提供したり、ソ
ーシャルネットワーク内の友人から勧められた新しい画像や動画を見られるように
します。
どちらのタイプの攻撃も、ユーザーをマルウェア配信ネットワークへ誘導して彼らの
コンピュータにマルウェアを植え付けたり情報を収集しようと試みます。
統合されたデータ損失防止
コンテンツとユーザーについてブルーコートがもっている情報を出て行くデータに適用
して、機密データの漏えいを防ぐことができます。Blue Coat Data Loss Prevention(DLP)
アプライアンスを使用すれば、潜在的なデータ漏えいの迅速かつ正確な検出とブロッ
クを開始して、業界および法律へのコンプライアンスを達成し、リスクを迅速に低減さ
せることができます。
リモートユーザー
ProxyClientとプロキシアプライアンス、またはSaaSベースのWebセキュリティモジュ
ールを使用すれば、個々のリモートユーザーとモバイルワーカーに、本社にいる同
僚と同レベルの保護を提供することができます。Blue Coat ProxyClientとWebセキュ
リティモジュールは、共にWebPulseクラウドサービスを活用することにより、既存の
ラップトップ防御に保護を強化するレイヤを加えることができます。
WebPulse
連携型防御
ブルーコートシステムズ合同会社
WebPulseの働き
新種の動的なWebの脅威が使用するテクニックやメカニズムと、WebPulseが顧客のネ
ットワークをそれらの脅威から保護できるようにする方法について、簡単に説明します。
サイトのレピュテーションに基づいて保護ポリシーを実装しようとする従来の防御
は、もう役に立ちません。7,500万超のユーザーから成る強力なコミュニティから提
供される大量のリアルタイムの意識に支えられたWebPulseは、ワナや餌だけでなく
リレーやマルウェアホストをも意識する、マルウェア配信ネットワーク自体に関する
情報に裏付けられた防御システムを提供します。
5
ホワイトペーパー
セキュリティを
ビジネスの力に
最大のマルウェア配信ネットワークである
Shnakule(シュナクル)の図解を見ると、複数の動
的リンクが中央にあるマルウェアペイロードサーバ
ーへユーザーを誘導しようとしていることがよくわ
かります。
マルウェア配信ネットワーク
マルウェア配信ネットワークは、リレーサーバー、エクスプロイトサーバー、およびペ
イロードサーバーを経由して疑いを知らないユーザーをマルウェアへ誘導するため
に、サイバー犯罪者によって設計されたネットワークです。
2011年には、平均して50のアクティブなマルウェア配信ネットワークが存在していま
した。トップから10位までのマルウェア配信ネットワークにおける1日あたりの重複な
しのホスト名の平均数は約4,000でした。ブルーコートのセキュリティラボの調べによ
ると、1日に40,000件以上のユーザーリクエストがこれらのネットワークの入口を目
指していました。マルウェアペイロードは、アンチウイルスシステムを出し抜くために
1日に何度も変化していました。
マルウェア配信ネットワークに特有の絶えず変化する性質と大量の新しいドメイン
に対処することができるのは、クラウドでつながれた巨大なコミュニティから意識を
供給されているWebPulseのようなインテリジェントなリアルタイムシステムだけです。
脅威に対する業界で最高の防御技術に基づきリアルタイムで動作するWebPulseク
ラウドは、マルウェア配信ネットワークがどのように働き、ある時点でどのドメイン、リ
レーサーバー、およびマルウェアサーバーから構成されているかを認識します。実
際、ブルーコートのセキュリティの専門家は、それらを視覚化して、攻撃を促進する
相互接続や経路の微妙な変化を追跡することができます。
WebPulse
連携型防御
ブルーコートシステムズ合同会社
WebPulseの違いと価値をよく示している例があります。偽のアンチウイルスサー
ビスを提供するという餌を使用した攻撃が2011年6月29日に開始され、ユーザー
を最大のマルウェア配信ネットワークShnakuleへと誘導していました。この攻撃は
複数の動的リンクへつながっていましたが、脅威の発信元はWebPulseがすでに
Shnakuleマルウェア配信ネットワークの一部として識別していたマルウェアサーバー
およびエクスプロイトサーバーでした。
この攻撃の時点で、43の異なるアンチウイルス製品を使ったファイルチェックを提供
しているWebサイトVirusTotalは、この攻撃を捕捉したのは43のエンジンのうち2つだ
けだったと報告しています。しかし、Shnakuleを詳細に認識しているWebPulseは、こ
の攻撃が始まる前にすでにマルウェアペイロードをブロックしており、WebPulseコミ
ュニティに属する7,500万以上のメンバーをこの攻撃から守りました。
悪意のある広告
検索から電子メール、地図、ソーシャルネットワーキング、さらにはゲームや動画サ
イトまで、日常使用する無料のWebサービスのほぼすべてが、オンライン広告を元
に運営されているために無償で提供されています。オンライン広告は、数十億ドル
規模のビジネスであり、大規模なマルチレイヤ広告ネットワークインフラストラクチ
ャーでサポートされています。しかし、オンライン広告は、正当な広告主だけではな
くサイバー犯罪者にとっても効果的です。実際、ブルーコートのセキュリティラボは
2011年に、悪意のある広告を、「マルウェアの広告」としてWeb攻撃のためのサイバ
ー犯罪手法トップ10のうち第3位と判定しました。
サイバー犯罪者は、害のない新しい広告または広告ドメインを作成していったん信
頼と評判を獲得し、ほとんどの防御から許可された後で悪意のある広告に変身させ
るか、あるいは信頼済みのWebサイトを感染させる場合と同様のインジェクションま
たは汚染手段を使って他者の信頼済みの評判の良いWeb広告を感染させます。
6
ホワイトペーパー
セキュリティを
ビジネスの力に
犯罪的な悪意のある広告キャンペーンは、本物の広告キャンペーンと同じように実
施されますが、いずれの場合も、いきなり前触れもなく、広告そのものまたはクリッ
クスルーのリンク先が変更され、マルウェアペイロードが配信されます。このペイロ
ードの目的は、ユーザーのコンピュータに感染し、ログインやパスワードを盗んだ
り、従業員のデータや給与を盗むことです。しかし、リンク先の変更が発生すると、
おそらくすぐにWebPulseコミュニティ内の誰かが最初にそれを識別してWebPulseに
報告します。WebPulseは即座に新しい動的リンクコンフィギュレーション内のリレー
ホストとマルウェアホストを認識し、コミュニティ内の残りの人々に警告します。
偽スキャナ攻撃
偽スキャナ攻撃では、ブラウザのブロックページのように見える偽のAVスキャナが
作成されて使用されます。この種の攻撃はより洗練されてきています。その多くは、
感染を広げるために検索エンジンポイズニング、ソーシャルネットワーキング、悪意
のある広告、スパムのどれも利用していません。代わりに、多数の犠牲者候補を改
ざんされたサイト(たいていは直接改ざんされるか共有コンテンツサーバーを介して
改ざんされたポルノや違法動画のサイト)のネットワークから引き込むために、より
直接的なアプローチを使用しています。
ア配信ネットワークのリレーおよびペイロードサーバー要素を理解することによっ
て、WebPulseのユーザーがこのような攻撃から保護される確率が高まります。
まとめ
新しい脅威の様相において、脅威の量に匹敵するのは攻撃の精巧さと絶えず変化
し続ける様相だけです。感染した評判の良いWeb資産、汚染された検索結果、およ
び信頼されたソーシャルネットワーキング環境と新しいユーザー行動の悪用が、従
来のWebセキュリティアプローチにとって難題となっています。今日の現実に対応す
るには、新しい脅威環境を理解してそれを防御するためにリアルタイムで働けるシ
ステムが必要です。
新しい防御はマルウェア配信ネットワークの移り変わる短命なリンクやノードをすべ
て見通す必要があり、Web制御ポリシーは許可された許容される利用に立ち向かう
必要があります。また、ソーシャルネットワークエコシステムの中に何があるかを理
解して、特定のソーシャルネットワーキングドメイン内の特定の活動およびアプリケ
ーションを理解するポリシー制御を実現する必要もあります。
WebPulseを使用すれば、匿名でクラウドに投稿された情報を共有して、WebPulseに
よって支えられたブルーコートのWebセキュリティ製品を使用しているコミュニティに
対してより正確な評価と保護をより迅速に返すメカニズムを実現できます。
基本的な設計原則(入力の量と即時性)と、リアルタイムクラウドサービスを背景と
する分析の速度および精度が、WebPulseサービスによって支えられた製品を使用
する人々に、以下のような明らかな利点を提供します。
•• クラウド内の意識
•• 16階層の防御によるインテリジェンス
•• オンデマンドでの配信
WebPulse
連携型防御
ブルーコートシステムズ合同会社
英語が不自然な場合もありますが、ポップアップの内容をろくに読まない人がどの
ようにしてだまされるかは理解できます。ダイアログボックスがクリックされると(ある
いは閉じられたときにまで)、攻撃によってマルウェアがユーザーのコンピュータに
注入されます。
独自のアーキテクチャー、洞察、および詳細さを備えたWebPulseは、ブルーコート
のWeb防御と連携して、競合するアプローチより正確な脅威の分析と評価をより迅
速に提供します。WebPulseに支えられたブルーコートのWebセキュリティソリューシ
ョンを使用すれば、従来のWebセキュリティアプローチより効果的なWebセキュリティ
および制御を手に入れられます。
プロによるマルウェア攻撃では普通のことですが、攻撃のペイロード(setup.exeプ
ログラム)は非常に巧妙に暗号化されています。しかし、前述のように、マルウェ
7
ホワイトペーパー
セキュリ
ティをビ
ジネス
の力に
Blue Coat
Systems Inc.
www.bluecoat.com
ブルーコートシステムズ合同会社
www.bluecoat.co.jp
03-6251-9111
© 2013 Blue Coat Systems, Inc.All rights reserved.ブルーコートシステムズから書面
による同意を得ることなしに、このドキュメントの一部または全部を何らかの方法で複
製することや、電子メディアに変換することを禁じます。このドキュメントに記載した情
報は、発行日の時点で正確であり信頼できると判断したものですが、ブルーコートは
これを確約するものではありません。また、ブルーコートは発行日以降に提示される
いかなる情報の正確性も保証いたしません。このドキュメントは情報提供のみを目的
としています。ブルーコートは、このドキュメントに記載した情報について一切の明示
的、暗黙的、または法的な保証をいたしません。このドキュメントに記載した情報は、
米国向けに提供される製品とサービスに適用されます。ブルーコートは、このドキュメ
ントに記載した製品、サービス、または機能を他の国に提供しない場合があります。
ご利用になれる製品とサービスについては、国内のブルーコート販売代理店にお問
い合わせください。このドキュメントに記載したブルーコートの製品、技術サービス、そ
の他の技術データは、米国の輸出規制と制裁規定、法令と要件の適用対象です。ま
た、それ以外の国の輸出/輸入規制の適用対象となる場合があります。ユーザーは、
これらの法律、法令、要件を厳格に遵守することに同意し、ブルーコートからの提供
物の輸出、再輸出、国内での移譲、または輸入を行うために必要とされる場合はライ
センス、許可、またはその他の承認を得る責務を負うことに同意するものとします。ブ
ルーコートは、このドキュメントに記載した対象物に特許を保有する場合または特許
を出願中の場合があります。このドキュメントの提供によって、これらの特許のライセ
ンスが与えられるものではありません。Blue Coat、ProxySG、PacketShaper、Cache
Flow、IntelligenceCenter、BlueTouchは、Blue Coat Systems, Inc.の米国およびその
他の国の登録商標です。このドキュメントで言及するすべての商標は、それぞれの所
有者のものです。
v.WP-WEBPULSE-A4-EN-v2a-0413
8