標的型攻撃対策 「i-FILTER」Ver.10 ・「m-FILTER」Ver.5
外部からの攻撃対策機能 「外部」からの攻撃対策 ブロック事例
「i-FILTER」Ver.10に搭載されている「クラウドルックアップ機能」は、ユーザーが未登録のURLにアクセスしようとした場合、個人情報を含むパラメーターを取り除いたあとに、URLをクラウド上のデータベースに通知、カテゴリ分類後データベースに配信しています。
デジタルアーツでは、この日々蓄積されるURLのアクセス情報の中からマルウェア感染の疑いやホームページを改竄されている企業を見つけ出し、リスク情報を提供する「Dアラート ~サイバーリスク情報提供サービス~」を無償で実施しています。
この「Dアラート」により、「外部」からの攻撃を未然にブロックした事例をご紹介します。
Case 01 Webサイトの改竄を「i-FILTER」で検知、マルウェア感染をブロック
A社様事例
業種:卸売業 従業員数:100名以上
A社様のお客様
業種:化学メーカー 従業員数:3,000名以上
卸売業であるため、様々なメーカーのWebサイトを毎日閲覧しているA社様は、Webフィルタリングの用途として「i-FILTER」Ver.10を導入。
Case 02 「i-FILTER」Ver.10利用でマルウェア感染の端末を検知
B社様事例
業種:不動産業 従業員数:100名以上
B社様では、外部からの攻撃対策として「i-FILTER」Ver.9からVer.10へリリース直後にバージョンアップ。「i-FILTER」Ver.10導入後、「i-FILTER」クラウドDBには、B社様から『カテゴリ外』のURLが定期的に通知され、マルウェアに感染している可能性が見られました。そのURLは『カテゴリ外』のためB社様との通信はブロックされていましたが、マルウェア感染の可能性が高い旨をB社様にご連絡し、すぐにアクセスログから端末を特定、端末を隔離しました。その後、端末からマルウェアを除去し、通常運用に戻りました。
Case 03 標的型メールもスパムメールも、連携ソリューションがブロック
※メール偽装レベルが小さいスパムメール が一部含まれる
C社様事例
業種:小売業 従業員数:3,000名以上
C社様では、長年「i-FILTER」と「m-FILTER」をご利用いただいており、「i-FILTER」Ver.10と「m-FILTER」Ver.5のリリース直後に連携ソリューション運用を開始いただきました。運用後、標的型メールを受信しましたが、「m-FILTER」Ver.5の偽装判定で隔離。ユーザー端末には標的型メールが届いていないことも確認できました。メール本文と添付ファイル内にあった悪性URLは、「i-FILTER」Ver.10に登録され、万が一そのURLにアクセスがあっても「i-FILTER」Ver.10で、ブロックできる環境が整いました。運用中の別のアンチスパムソリューションでは、メール偽装のレベルが小さいものや一部のスパムメールは、すり抜けてユーザー端末に届いてしまいますが、メール本文に記載されているURLが悪性URLの場合は、「i-FILTER」Ver.10では『カテゴリ外』となりブロックされます。このため「i-FILTER」Ver.10と「m-FILTER」Ver.5の連携ソリューションでは標的型メールもスパムメールも対策することができました。
Case 04 「i-FILTER」の万が一の抜け漏れを防ぐため、
※ばら撒きメールのURLは、基本的には「i-FILTER」が『カテゴリ外』としてブロックするが、「m-FILTER」側で下記を実施して補完
D社様事例
業種:地方銀行 従業員数:500名以上
D社様では、長年「i-FILTER」をご利用いただいておりました。再度バンキングマルウェアのばら撒きメールが活性化してきたことからメールセキュリティ対策の強化を検討し、「m-FILTER」Ver.5への乗り換えと「i-FILTER」Ver.10のバージョンアップを同時に実施いただきました。バンキングマルウェアのばら撒きメール内のURLは、基本的には「i-FILTER」Ver.10が『カテゴリ外』でブロックできますが、サイトが改竄された場合や、無害なホスティングサイトにマルウェアを設置された場合、ブロックされない可能性があるため、「m-FILTER」Ver.5で補完。バンキングマルウェアのばら撒きメールは、Microsoft Off ice 2003以前の形式の添付ファイルのマクロを悪用したものが多く、「m-FILTER」Ver.5ではMicrosoft Off ice 2003以前の形式のマクロ除去ができないため、マクロ除去対象外のファイルを添付ファイルのみを強制隔離することと、メール本文内のURLリンクは無効化し、むやみにクリックさせないようにする運用を実施しております。
Webによる「外部」からの攻撃対策
「ホワイト運用」を可能にした全く新しいDBにより、 「i-FILTER」のDBは、これまでの「ブロック対象となりうるURLをカテゴリ分類する方式」から、「あらゆるURLをカテゴリ分類する方式」に変更しました。
「安全なWebの世界」を実現する仕組み 01 従来のブラックリスト方式のDBでは、既知の悪性URLをDBに登録していました。DBに登録されていないURLはアクセス可能であったため、未知の悪性URLはブロック対象外となってしまっていました。
「安全なWebの世界」を実現する仕組み 02
検索サイトで検索可能な国内のサイトも日々新しいURLが追加されています。ユーザーが未登録のURLにアクセスしようとした場合、個人情報を含むパラメーターを取り除いたあとに、クラウド上のデータベースに通知されます( クラウドルックアップ機能)。
(※)一部のURLのカテゴリはクラウド上の「i-FILTER」のみに存在します。
改ざんWebサイト対策 改ざんされたWebサイトからのマルウェア感染には、2つの手法があります。
全世界の地域と言語のURLを網羅する「Global Database」オプション 「Global Database」オプションを追加することで、海外のURLも、100%に近い網羅率のDBを利用することができるようになります。グローバル展開する企業、外資系企業などでも、安全なWebアクセスを実現することができます。
『m-FILTER』 Ver.5との連携で実現する偽装メールDBで標的型メール由来のアクセスをブロック
特許取得済み
※本機能は、「i-FILTER Ver.10」と「m-FILTER Ver.5」の両方をご利用いただいている場合のみご利用可能です。
SSL通信を利用したマルウェア通信も解析可能にするSSL APT Adapterオプションを新たに用意 SSL通信をデコードしてサンドボックス製品などで検知を可能にするオプション。従来の『i-FILTER』ではSSLデコードした通信を外部機器に受け渡すことができず、C&CサーバーとのSSLコールバック通信を解析するためには、SSLアクセラレーター製品を別途導入する必要がありましたが、手軽な値段で実現することができるようになります。
メールによる「外部」からの攻撃対策
送信元を偽装したメールをブロック DNSのSPFレコードの問い合わせの実施とメールヘッダー参照により送信元の偽装を判定することが可能です。
拡張子を偽装した添付ファイルをブロック 「多重拡張子」「拡張子前の大量空白」「禁止拡張子」「実行ファイル形式」「マクロ含有」等の有無を判定し、安全な添付ファイルのみを受信します。「実行ファイル形式」「マクロ含有」判定については、ファイル内容を検査し判定するため、拡張子が変更されている場合も判定可能です。
本文を偽装したメールをブロック 「見かけと実際のURLが異なる(aタグ偽装)」「URLにグローバルIPアドレスが使用されているか」「禁止拡張子のファイルをダウンロードするURLか」「禁止ワードがアンカーテキストに使用されているか」等の情報を判定し、安全なメールのみを受信することが可能です。
添付ファイルのマクロをブロック 添付されているOfficeファイル等のマクロを除去することができます。マクロを利用したマルウェアは増加傾向にあり、「マクロ除去」をすべてのメール添付ファイルに対して実施することを推奨します。
標的型攻撃対策
