日本年金機構をはじめ、標的型攻撃メールを通じた情報漏えい事件が相次いでいる。サンドボックス製品を導入しても検知だけは意味がない。感染はPCが起点になる場合が多いため、クライアントとの二重防御が不可欠だ。
情報漏えいは、企業にとって深刻な問題の1つだ。日本年金機構や早稲田大学などの事件が相次ぎ、著名な組織においても対策が不十分であることが明らかとなった。いずれも、標的型攻撃メールを通じてマルウェアに感染したことが発端となっている。
標的型攻撃に利用される技術は、旧来のパターンマッチング手法では防ぐことができない。標的に合わせた“未知のマルウェア”を新たに作成する攻撃者が大半であるためだ。
未知のマルウェアへの対策として、最近注目されているのが「サンドボックス」技術である。クライアントPCを模した仮想マシンで不審なファイルを実行し、その後の挙動をチェックすることで、マルウェアかどうかを判断するという仕組みである。
サンドボックスは、ネットワークを流れるトラフィックを“コピー”して不審なファイルを検査する「ネットワーク型」のアプライアンス製品が多い。しかし上述のように、情報漏えい攻撃の大半はクライアントPCにマルウェアを侵入させることから始まる。ネットワーク型サンドボックスで検知したときには、既に感染が広まっており、情報流出が完了してしまっている可能性もあるのだ。
2016年には、全企業に従業員のマイナンバー(社会保障・税番号)を管理する義務が課せられる。一層の個人情報漏えい対策が求められることになるだろう。そこで今回は、ネットワーク型サンドボックスの弱点を補完し、多層的な防御手法を紹介しよう。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:ダウジャパン株式会社
アイティメディア営業企画/制作:TechTargetジャパン編集部