スライド 1

標的型攻撃対策ソフトウェア
標的型攻撃に特化した
ヒューリスティック検出技術
未知の脅威に対抗する
日本発の次世代セキュリティ
標的型攻撃の攻撃手法を分析し、
それぞれの対策ポイントに最適な検出エンジンで多層防御
国内防衛産業や重要インフラ企業が標的とされはじめ、対策が必要とされている標的型攻撃は、単なるウイル
ス攻撃ではなく、特定の標的を狙ったハッキング行為であり、従来の対策技術では防御が困難です。
2007年の設立当初から、標的型攻撃対策の研究を続けてきたFFRIの FFR yarai は、標的型攻撃で利用され
る攻撃手法やマルウェアの検出に特化した4つの異なるヒューリスティックエンジンによるエンドポイントでの多層
防御を実現する標的型攻撃対策に特化ソフトウェアです。
従来のセキュリティ対策では、内部ネットワークへのマルウェアの侵入や感染対策に重点が置かれてきました
が、標的型攻撃における脅威の本質は、マルウェアの侵入や感染ではなく、機密情報が盗み取られることによる
経済的損失や安全保障上の問題です。つまり、マルウェアに感染しても、最終的な攻撃者の目的である機密情
報の奪取が実現しなければ、実質的な被害は発生しません。
FFR yarai では、標的型攻撃で最初に狙われる一般のクライアント端末上にある複数の対策ポイントに着目し、
それぞれのポイントに最適なヒューリスティックエンジンを用いることで攻撃プロセスを遮断し、標的型攻撃の脅威
から情報資産を守ります。
典型的な標的型攻撃のプロセス
標的型攻撃の一般的なプロセスは、攻撃者が対象に対してメールを送付する事から始まります。メールに
は、PDFファイルなど日常的にやりとりされている何らかのデータファイルが添付されており、「騙しのテクニッ
ク=ソーシャルエンジニアリング」を駆使したメール文面でその添付ファイルを開かせようとします。メール受
信者がその添付ファイルを開くと、セキュリティ脆弱性が攻略され、攻撃者が設置した「C&Cサーバ」との通信
が開始されます。そして、攻撃者の指令の元、内部ネットワークの調査・偵察が行われ、最終的に機密情報
が搾取されます。
標的型攻撃は、攻撃対象ごとにカスタムメイドされている事が多く、攻撃ファイルが添付されたメールを到達
前にブロックする事は極めて困難です。このため、攻撃プロセスの中に存在するいくつかの「防御ポイント」で
それぞれ対策を実施し、トータルで標的型攻撃のリスクをいかに軽減するかが対策の鍵となります。
FFR yaraiは、防御のための情報を最も得る事ができる「エンドポイント=PC端末」に存在する複数の防御
ポイントにおいて、それぞれ異なるアプローチで標的型攻撃のリスクを極小化します。
インターネット
C&Cサーバ
ファイアウォール / ゲートウェイ型アンチウイルス
攻撃者
ビューア起動
Webブラウザ
ハイジャック
PDF
PDF
脆弱性攻撃発動
脆弱性
攻撃
コード
インジェクション
攻撃コード実行
本体マルウェア生成&実行
内部ネットワークの
調査・偵察
エンドポイント上での攻撃プロセスと
yaraiでの防御ポイント
※これらの攻撃プロセスをどこか一箇所でも遮断できれば、被害は発生しません。
エンドポイントにおける標的型攻撃の対策ポイントに対応する4つのエンジン
 既知・未知の脆弱性攻撃発動防止(ZDPエンジン)
• 典型的な標的型攻撃では、高度なソーシャルエンジニアリングを用いたメールが送り付けられ、添付の
データファイル(主にPDFやMS Office)を開かせることで脆弱性攻撃が発動し、攻撃コードの実行や本体
マルウェアの生成と実行が行われます。
• 脆弱性攻撃対策として、パッチの適用が有効なのは言うまでもありませんが、OSだけでなく、サードパー
ティアプリケーションまで含めたショートタームでのパッチ適用は、非常に運用負荷の高い作業です。また、
ゼロデイ攻撃と呼ばれる未知の脆弱性を利用した攻撃も増加しており、パッチ適用だけでは防ぎきれない
攻撃が存在します。
• 「FFR yarai」の搭載するZDPエンジンは、標的型攻撃マルウェアで利用されるコード実行型脆弱性に焦点
を絞り、その99%以上の脆弱性を汎用的な仕組みでカバーします。
 パターンファイルに依存しないマルウェア検知(Static分析エンジン、Sandboxエンジン)
• 標的型攻撃で使用されるマルウェアは、特定の攻撃対象に特化したマルウェアであり、パターンファイルを
作成するためのマルウェア検体を入手することが難しく、従来のパターンマッチング型ウイルス対策ソフト
ウェアでは検知が困難です。
• 「FFR yarai」の搭載するStatic分析エンジンでは、プログラムの構造を分析することでマルウェアらしき特
徴を数値化し、一定の閾値を超えたプログラムをマルウェアと判定します。また、Sandboxエンジンでは、
実際のシステムに影響を与えない仮想環境上でプログラムを実行し、命令の組み合わせからマルウェア
判定を行います。
 標的型攻撃に特化したホスト型IPS(HIPSエンジン)
• 標的型攻撃では、Webブラウザを乗っ取ることで通信を偽装し、あたかも正常な通信であるかのように見
せかけることで、ネットワーク監視システムや通信ログの監視をすり抜けます。
• 「FFR yarai」のHIPSエンジンでは、通信が偽装される前の段階で、マルウェアがWebブラウザなどの他の
プロセスへ不正に介入することを検知します。また、その他にもキーロギング、異常なネットワークアクセス、
自身の再実行など、マルウェアによく見られるさまざまな挙動を監視し、防御することもできます。
■ ZDPエンジン
メールやWebページ閲覧時の攻撃など、既知・未知の脆弱性を狙ったウイルス攻撃を防御。
独自の「API-NX」技術(特許第4572259号)で、任意コード実行型脆弱性の攻撃を防御。
■ Static分析エンジン
プログラムを動作させることなく分析。「PE構造分析」、「リンカー分析」、「パッカー分析」、
「想定オペレーション分析」など多数の分析手法「N-Static分析」で検知。
■ Sandboxエンジン
仮想CPU、仮想メモリ、仮想Windowsサブシステムなどで構成される仮想環境上で
プログラムを実行。独自の「U-Sandbox検知ロジック」で命令の組み合わせに基づいて検知。
■ HIPSエンジン
実行中プログラムの動作を監視。他プログラムへの侵入、異常なネットワークアクセス、
キーロガーやバックドア的な動作などの挙動を、独自の「DHIPSロジック」 で検知。
*・・・暗号化アルゴリズムは3DESを採用しております。(ユーザによる設定変更不可)
FFR yaraiの標的型攻撃に対する効果
標的型攻撃は、普段やりとりするPDFやMicrosoft Word文書などのデータファイルを開く事で発動するケース
が多いのが現状です。これらは、各種ドキュメントビューアやオフィスソフトウェアのセキュリティ脆弱性を悪用し
ていますが、セキュリティパッチ等の対策を十分にとっていたとしても未知のセキュリティ脆弱性(0-day)が狙わ
れる事もあり、対策が非常に困難です。FFR yaraiに搭載されているZDPエンジンは、標的型攻撃に悪用されや
すい「コード実行型脆弱性」を汎用的に防御するロジックが搭載されており、標的型攻撃による脆弱性攻撃の大
半を防御する事が可能です。また、高度な攻撃で使用されることから再び注目されているDLL Hijacking脆弱性
を利用した攻撃や、IE8に対してROP(Return Oriented Programming) を利用した攻撃に対しても効果があり
ます。
99%以上の脆弱性攻撃をカバー
標的型攻撃で悪用されやすい脆弱性
※一部の設計脆弱性は振る舞い検知にて防御
※カーネルモードの脆弱性攻撃は防御対象外
ZDPエンジンで防御できなかった場合は、実行ファイルを検査する「Static分析エンジン」、「Sandboxエンジ
ン」、「HIPSエンジン」で防御します。昨年話題になったパソコン遠隔操作事件に利用された.NET製マルウェア
はStatic分析エンジンで検知することが可能です。パターンファイルをベースとした既存のマルウエア対策技術
では未知マルウエアの対策は困難ですが、 FFR yaraiは高い検出能力を持っています。
クライアント動作環境(推奨)
CPU
対応OS
■ 32 bit 日本語版
Windows XP: Home, Professional, Media Center, Tablet PC ※ServicePack2以上
Windows Vista: Home Basic, Home Premium, Business, Enterprise, Ultimate
Windows 7: Starter, Home Premium, Professional, Enterprise, Ultimate
Windows 8 / 8.1: Core, Pro, Enterprise
Windows Server 2003: Standard, Enterprise, Datacenter ※ServicePack2以上
Windows Server 2003 R2: Standard, Enterprise, Datacenter ※ServicePack2以上
Windows Server 2008: Standard, Enterprise, Datacenter
■64bit 日本語版
Windows 7:Starter, Home Premium, Professional, Enterprise, Ultimate
Windows 8 / 8.1:Core, Pro, Enterprise
Windows Server 2008:Standard, Enterprise, Datacenter
Windows Server 2008 R2:Standard, Enterprise, Datacenter
Windows Server 2012:Standard, Datacenter
仮想化環境
Intel Core2Duo以上のx86/x64互換プロセッサ
動作可能
メモリ
Windows XP, Windows Server 2003/ 2003 R2 : 768MB以上
Windows Vista, Windows 7,Windows 8/ 8.1,
Windows Server 2008/ 2008 R2, Windows Server 2012 : 2GB以上
ハードディスク
空き容量 : 1GB 以上
管理コンソール動作環境
対応OS
CPU
■32 bit 日本語版
Windows Server 2003 : Standard, Enterprise
Windows Server 2003 R2 : Standard, Enterprise
Windows Server 2008 : Standard, Enterprise
■ 64bit 日本語版
Windows Server 2008 : Standard, Enterprise
Windows Server 2008 R2 : Standard, Enterprise
Windows Server 2012: Standard, Datacenter
その他
Intel Pentium 4 以上の x86 互換プロセッサ
メモリ
2 GB 以上
ハードディスク
空き容量 : 100 GB 以上
•
•
IIS (32 bit モードでの動作のみサポート)
SQL Server 2008, SQL Server 2008 Express,
SQL Server 2008 R2, SQL Server 2008 R2 Express
のいずれか
•
Microsoft .NET Framework 3.5 Service Pack1
ブラウザ
Internet Explorer 7 ( Win 32 ) 日本語版 以降
製品・サービスについてのお問い合わせは
株式会社FFRI
ソリューション営業本部
〒150-0013
東京都渋谷区恵比寿1-18-18 東急不動産恵比寿ビル4階
TEL:03-6277-1811 E-mail : [email protected]
本製品に関する情報はインターネットでもご覧いただけます。
〒135-0031 東京都江東区佐賀1‐5‐6
http://www.ffri.jp/
TEL: 03-5245-7772
■FFR yarai は、株式会社FFRIの登録商標です。
■このパンフレットの内容は改良のために予告無しに仕様・デザインを変更することが
ありますのでご了承ください。
www.ait.co.jp
2014年5月現在
Ver 2.00.13