Akamai Diversity

Akamai Japan ブログ

Akamaiの標的型攻撃対策ソリューション Enterprise Threat Protector (ETP)のご紹介

近年、標的型攻撃はますます増大し、巧妙化し続けている状況です。

標的型攻撃の例としてはメールに添付されたファイルを開く、本文に記載されたURLにアクセスする、改ざんされたウェブサイトにアクセスする、USBメモリを利用するなどをきっかけとして、マルウェアに感染します。

さらにC&C(コマンドアンドコントロール)サーバとの通信が確立されるとC&Cサーバからコマンドが発行され、マルウェア感染デバイス(ボットネット)の拡大、情報収集、情報漏えい、といったより深刻な被害につながります。

C&Cサーバとボットネット間の通信は、HTTP(TCP 80 番)、HTTPS(443 番)が利用されていることが一般的に知られています。

 

 [動作イメージ]

ETP⑧.png

 

 

 

 

 

 

 

 

 

 

 

 

 

 

DNSを用いた新たなサイバー攻撃傾向の高まり(DNSを用いた指令サーバとの通信)

2016年ごろからサイバー攻撃により遠隔操作ウイルスが仕込まれたクライアントコンピュータから、攻撃者が用意したと見られる権威DNSサーバ(C&Cサーバ)に対して、不正に収集した企業情報を埋め込んだDNSクエリを送信する新しいサイバー攻撃が確認されています。

この攻撃は、DNS Bind (IPアドレスとドメインのマッピングテーブル)を持つ権威DNSサーバに必ず、DNSクエリが到達する、といったDNSの仕組みを悪用し、C&Cサーバとボットネット間の通信を確立、企業情報を盗み出す攻撃手法になります。この攻撃をDNS Tunnelingと呼びます。

 この攻撃は下記にように、企業にとっては深刻な問題となります。

・使用されているDNS通信単体では、特に異常があるわけではない。

・遠隔操作ウイルスは攻撃対象に対してカスタマイズされているため、ウイルス対策ソフトでは検知が難しい。

・NGFW(次世代型ファイアーウォール)、Sandbox、Web Security Gateway、IPS/IDSといった従来のセキュリティソリューションは、HTTP/S、ダウンロードファイルに特化しており、DNSを利用した攻撃(DNS Tunneling)を対応しているものは少なく、検知することが難しい。

DNSリクエストがシステムに及ぼす負荷を懸念して、多くのDNSではログを収集しておらず、不正なリクエストが行われたか否かを確認することが難しい。

 

 [動作イメージ]

 ETP①.png

 

Enterprise Threat Protector (ETP) のご紹介

 Enterprise Threat Protector (ETP) は企業が、マルウェア、フィッシング、DNSベースのデータエクスフィルトレーション(企業情報の盗み出し)といった、標的型攻撃に対する防御を、シンプル、且つ迅速に実行できるクラウドベースのセキュリティソリューションになります。

DNSの問合せ先を現状向けているISP等からETPに変更するだけでご利用いただけるソリューションとなります。

 

 [動作イメージ]

 ETP②.png

 

 

 

 

 

 

 

 

 

 

 

Enterprise Threat Protector (ETP) Akamaiが判定したマルウェア、フィッシング、C&Cサーバに関する既知のドメイン/IP アドレスや疑わしいドメイン/IP アドレスごとにアクション(DenyMonitorBlock Pageの表示など)を選択、検知時のアラートの送信が可能です。

また、ウェブフィルタリングにも対応しており、Social(オンラインでの社交や、地理的および組織的な境界を越えた個人的/専門的な関係の発展または維持を促進しているサイト) やDating(恋愛関係を確立するための機会を促進または提供しているサイト)といったカテゴリごとにアクションを選択することができます。さらに、White/Black listの取り込みにも対応しています。

ETP③.png

 

 

 

 

 

ETP④.png 

 

 

 

 

 

 

 

 

 

 

 

 

モニター機能としてもダッシュボードで全体を把握しながら、各イベントの詳細をドリルタウンして分析でき、リアルタイムにイベントを把握することが可能です。

ETP⑤.png

 

 

 

 

 

 

 

ETP⑥.png

 

 

 

 

 

 

 

 

 

Akamaiは世界で20社以上のキャリアにDNSサービスを提供し、世界中のデバイスから1日平均1500億のDNSクエリーを処理しています。

Akamaiはそのサービス上やアカマイプラットフォームから得られる独自のさまざまな生のデータ、外部機関の情報などを機械学習にかけ、専任のリサーチチームによって分析をさせることによって、DNSを利用したサイバー攻撃をいち早く検知しながら、低い誤検知率を実現しています。すべてのDNSパケットの処理において、Enterprise Threat Protector (ETP)は、このデータベースを参照し、リアルタイムのプロテクションを実現しています。

また、Nominum社の買収によりDNSセキュリティにおける情報ソースもより一層強化される予定です。

ETP⑦.png

 

 

 

 

 

 

 

 

 

いかがでしたでしょうか。

201712月現在、Enterprise Threat Protector (ETP) 60⽇間の無料トライアルも実施しております。既存のセキュリティソリューションのアセスメントとして、この無料トライアルをご利用いただくことも可能です。

DNSフォワーダーの向け先を変更するだけで、簡単に導入できるソリューションとなっておりますので、標的型攻撃対策における多層防御の選択肢の一つとしてご検討いただけると幸いです。

 

Leave a comment