インターネットの出入り口でウィルスを検疫　
～NTTPCが提供するアップサイドセキュリティ～

2020年初頭から新型コロナウィルスが全世界で猛威を振るっていますが、コンピュータ、インターネットの世界においても様々な種類のコンピュータウィルスが猛威を振るい、私たちのインターネットサービスの安全を脅かしています。

ウィルス検知の目をかいくぐるために様々な亜種が日々作成されており、ウィルス検知側も日々亜種の発見・解析を行い、ウィルス定義や検知アルゴリズムを更新しております。現実の世界と同じく、コンピュータ、インターネットの世界もウィルスとの終わりなき戦いが続いています。

コンピュータウィルスと一口に言っても、様々な種類が存在し、亜種も含めると膨大な数に上ります。このような悪意あるソフトウェアを総称して「マルウェア」と呼びます。ここでは、代表的なマルウェアを紹介いたします。

(1) ウィルス

被害者が知らず知らずのうちに起動する事によって、自己を複製、または他のソフトウェアの中身を書き換えるマルウェアです。一見すると無害な電子メールの添付ファイル、アプリなどに偽装し仕掛けられています。悪意のあるイベントを一定時間後に発生させるプログラムが含まれています。

(2) ワーム

単独で自己増殖が可能で、コンピュータ、ネットワークに拡散するマルウェアです。 電子メール、Webサイト、インスタントメッセージなどを経由して、ネットワーク上に存在する他のコンピュータに、自己の複製を送信します。

(3) トロイの木馬

無害を装った画像ファイルや文書ファイル、アプリなどに偽装し、コンピュータ内部へ侵入し、遠隔からそのコンピュータを操るマルウェア、リモートアクセスツール(RAT)です。自己増殖機能が無いため、ウィルス、ワームと区別されます。

参考文献：
https://service.mcafee.com/
https://japan.norton.com/malware-virus-difference-2041

コンピュータウィルスの起源は、研究目的や、作成者の技術力をアピールするため、または他のコンピュータ利用者を驚かせることが主であったものが、現在では後述する様々な「悪意ある」目的で作成・悪用されています。

(1) 金銭

不正に金銭を奪取する事を目的に作られます。

代表例が、インターネットバンキングの不正送金です。Gozi(または Ursnif, Snifula, Papras)と呼ばれるマルウェアに代表されます。メールに正規のインターネットバンキングを装ったURLを張り付けて誘導し、ログインID、パスワードを盗み出すという手口です。

また、近年猛威を振るっているのが、ランサムウェアと呼ばれる身代金の要求を目的に作成されたマルウェアです。侵入したコンピュータ上のデータを不正に暗号化し、暗号化を解くために被害者に身代金を要求します。

(2) スパイ

不正に情報を盗み出す事を目的に作られます。

一例が、PoS(販売時点情報管理)のメモリから情報を盗み出すマルウェアです。Troj / Trackr と呼ばれます。POS端末に感染後、バックドアと呼ばれる隠し扉から外部に用意したサーバにアクセスして情報漏洩させようとします。

(3) テロ

破壊工作、妨害行為を目的に使用されます。

原子力発電所のウラン濃縮設備の停止を狙ったマルウェア、スタックスネットが代表的です。
ボットプログラムと呼ばれるマルウェアを多数のコンピュータに感染させ、攻撃者からの命令でウェブサイトやサーバに過剰なアクセスを行わせ、サービス停止に追い込むDDoS攻撃(Distributed Denial of Service attack)も一例です。

参考文献：
日本サイバー対策センター：https://www.jc3.or.jp/info/malware.html

上記で列挙したマルウェアへの対抗策として、ご利用のコンピュータへマルウェア感染を未然に防ぐマルウェア対策ソフトの導入、EDR(End Point Detection and Response)と呼ばれるマルウェア感染による不正な通信を監視するシステムの導入、インターネットの境界に外部からの侵入を防ぐファイアウォールを設置するなど、2重・3重の防御を行う「多層防御」によってセキュリティを強化する事が有効です。

多層防御の一役を担うのが、「UTM(Unified Threat Management)」と呼ばれる統合脅威管理システムです。ファイアウォールと同じく、インターネットの境界に設置し、外部からの侵入を防御するだけでなく、マルウェアに感染した通信を遮断し、内部から不正なデータ持ち出しを防ぐ事ができます。

UTMが提供する代表的な機能は下記の通りです。

(1) マルウェア検疫

Web通信、ファイル転送、メール送受信 におけるマルウェアの有無を検知し、感染のリスクがある通信を遮断します。Web通信の場合はご利用端末のWebブラウザにブロック画面が表示され、ファイル転送の場合は転送が遮断されます。メール送受信においては、メールがUTM内部に隔離され、宛先メールアドレスにメールが隔離された事が通知されます。

(2) コンテンツフィルタ

好ましくないWebサイトの利用を制限する機能です。お客さまの任意によって、どのカテゴリに属するWebサイトを制限するのか選択が可能です。例えば、カテゴリ「悪意あるサイト」「悪意あるダウンロード」を遮断対象に選択する事により、マルウェア感染のリスクを低減する事ができます。

(3) アプリケーション制御

好ましくないアプリケーションの利用を制限する機能です。お客さまの任意によって、どのカテゴリに属するアプリケーションを制限するか選択が可能です。例えば、カテゴリ「ファイル転送ソフト」を遮断対象にする事により、不正なファイルの持ち出しやマルウェア感染のリスクを低減する事ができます。

(4) 侵入検知(IDS)、侵入防御(IPS)

不正な侵入や不正なデータの持ち出しを検知、遮断する機能です。不正な通信が行われる際の特徴的な通信パターンを予めUTMに登録し、通信を常時監視してパターンに合致した場合に通知もしくは遮断します。どの攻撃を遮断するかについて、お客さまが任意で選択可能です。
例えばカテゴリ「マルウェア」を選択する事により、マルウェア感染によって引き起こされる様々な不正な通信を遮断する事が可能です。

URL：https://support.unified-ict.jp/hc/ja

インターネットから接続が可能なクラウド上に、セキュリティ機能を構築し提供する「クラウド型セキュリティサービス」です。

IKEに対応したCPE(VPN装置)を設置するだけで、NTTPCのクラウドを経由してインターネットをご利用可能になります。

NTTPCのクラウドとインターネットの境界にUTMが設置されており、上記で紹介した機能により通信を検疫し、悪意ある通信を遮断します。

既存のオンプレミス型の物理UTMと違ってクラウドで検疫を行うため、オンサイト交換やセンドバックが不要になります。

お客さまの通信の安全をより強固なものにするため、ご利用中のマルウェア対策ソフトやEDRに加え、「多層防御」としてぜひNTTPCのクラウド型セキュリティの導入をご検討ください。