感染後の対策を行っている企業は少ないという現状

　これまで多くの企業は、巧妙化するサイバー攻撃に対抗するためにさまざまな手段を採ってきた。Webサイトの防御対策として、プロキシサーバ上で行うアンチウイルスやURLフィルタ。そしてメール防御対策として、MTA（Message Transfer Agent）上で行うアンチウイルスやアンチスパムなどだ。

　しかしソリトンシステムズ プロダクトソリューション部 シニアエンジニアの古川悟氏は「近年こうした対策では防ぎ切れない、ドライブ・バイ・ダウンロード攻撃や、水飲み場攻撃などと呼ばれる新手の手法が登場しています」と指摘する。

　これらの手法は、非常に複雑な仕組みだ。まず攻撃者はあるWebサイトを改ざんし、罠を張る。ユーザがサイトにアクセスすると、マルウェアサイトにリダイレクトされ、そこで未知の脆弱性を利用され、ユーザのPCはダウンローダと呼ばれる小さなマルウェアに感染。その後、ダウンローダを介して本命のウイルスが次々とPCにダウンロードされ、最終的に本来の目的である情報の奪取が行われる。

　また、攻撃手法が巧妙化する一方で、新種のマルウェア自体も増えてきている。

　通常マルウェアの侵入を防ぐためには、アンチウイルスやURLフィルタといった対策が採られる。しかし、最近では亜種のウイルスやゼロデイ特性を持つファイルを利用されることで対策が間に合わない、あるいはURLフィルタでは定義されていないマルウェアサイトの出現といった課題が後を絶たない。


　さらにマルウェアに感染してしまった後には、ユーザの見えないところで、外部のC&C（Command&Control）サーバに接続が行われてしまう。このC&Cサーバは、ウイルスに感染してBotと化したPCに対し、命令を出してコントロールするためのもので、感染したPCはこのサーバの指示を受けて、自身を進化させたり、外部に情報を持ち出したりする。


　古川氏によれば、こうした感染後の対策までとっている企業はまだ少ないとのことで、さらに実際に対策を行う際にも、プロキシサーバ経由で外に出る通信と、プロキシサーバを回避して外に出る通信の各々について対応が必要と指摘する。

　「年々巧妙化するサイバー攻撃に対抗するためには、従来以上に強固な入口対策に加えて、今まであまり意識されてこなかった出口対策も併せて施す必要があります」

”入口対策”には、幅広かつ新しい情報をもとにしたスキャンが必要

　では、企業が行うべき具体的な対策とはいったいどのようなものか。入口対策について、古川氏は以下のように語る。

　「表面上1つに見えるWebサイトも、実は裏側で複数のサーバから構成されているものが多々あり、Webの脅威はどこに潜んでいるか分かりません。社内リソースを守るためには、アンチウイルス対策に加えて、スパイウェアに強い複数のアンチマルウェアエンジンも利用して、幅広くスキャンしていく必要があります。また通信では、必ずしもHTTPが使用されるとは限らず、HTTPSが使われる場合もあります。その際にはプロキシサーバを通る時に通信が暗号化され、通常はウイルススキャンを行うことができないため、対処が必要です。」

【次ページ】ウイルス感染後では遅い、事前に行うべき出口対策とは？