ウォッチガード


ウォッチガード、マルウェアの3分の2が暗号化されており、 HTTPSインスペクションの重要性を強調(2020.7.1)

ウォッチガード社によると、マルウエアの3分の2がHTTPS通信による「暗号化」されているというレポートがあがった。この報告によると、2020年第1四半期では、マルウエアの約67%が暗号化通信(HTTPS経由)で配信されているとのこと。その暗号化通信の72%のマルウエアが「ゼロディ」に分類されているという。

またこの報告では、いくつかの代表的なマルウエアを紹介されている。

①Moneroクリプトマイナーが急増
②Flawed-AmmyyとCryxosマルウェア亜種が上位にランキング
③3年前のAdobeの脆弱性がネットワーク攻撃のトップにランキング
など

 

ホームページのHTTPS化は、2015年米国がすべての連邦政府Webサイト・Webサービスに”HTTPS-Only Standard”に従うことを義務化(CA)したことにより、徐々にHTTPSサイトが急増してきたのが背景だと思う。そして、犯罪者側も好都合として、HTTPSサイトの活用によって、今後脅威になるんだろうな…と思っていたのが、2020年だったとは。

私の勤務先においても、2020年初にProxyサーバの更新を行なった。ここでは、このHTTPS通信による悪用が増加するものと想定し、ウォッチガード社では無いですが、バラクーダ社のBarracuda Web Security Gatewayに入れ替えた。決めては、本当に緊急事態が発生したのです。当初、シマンテック社のBlueCoat ProxySGによる更新を行う予定だったものの、Broadcom社に買収され、受注未定・出荷困難という状況に陥りました。でも、リース契約したし…という問題から、急遽、付加価値を追加した状態で同金額で収まる製品が、バラクーダ社だった。

ここで、今後の脅威を想定し、「SSLインスペクション」を採用した。ただ、銀行とかのカテゴリ については、SSLインスペクションは無効にしている。Microsoft365(Office365)は、安全通信と見なし、そもそもProxyには通過せず、UTMから直接抜けるよう、PACファイルとかを活用して対処している。

「SSLインスペクション」は、暗号化通信(HTTPSによるSSLやTLS等の通信)を復号化をしてチェックを行い、問題が無かったら暗号化された通信を通過させる、という機能のため、通信処理に相当遅延するのではないか、という不安があった。しかし、思った程の遅延はなく、一安心という状況です。

また、Proxyだけでなく、UTMにおいても、機能を実装しており、とりあえず、暗号化通信は、いったん紐解かせて頂くという運用をしている。ただ、この、「SSLインスペクション」において、中国で盛んに利用されているリモート会議ソフト、WeChatでは通信ができなくなるといった問題もあり、この機能の実装により、運用が大変になったのも一理あります。

勤務先での環境においては、Webフィルタ(Proxy)は、バラクーダで「SSLインスペクション」を有効化。UTMはFortigateを使い、エンドポイントはKasperskyを使っているという、見事な低価格路線だけど、結構、頼もしい製品群で対応をしている(つもり)だ。当然、Proxy経由のUTM接続の場合は、SSLインスペクションは無効にしている。ただ、問題は、Kasperskyにおいて、社内からの接続はSSLインスペクションの設定はデフォルトにしているので、ひょっとしたら有効でのスキャンがかかっているのかもしれない。見る項目が多すぎて、何かあった時にしか、設定項目は見ていない状況です。

私の実感ではありますが、「SSLインスペクション」を有効化したところで、Web通信があきらかに遅くなることは無い、といったところですが、ハードウエアはそれなりのもの(ギリギリのスペックのものはNG)で対応しなくてはならないため、十分な並行運用が必要と感じた。

 

さて、ウォッチガード社が提示したマルウエア等ですが、脆弱性攻撃は減らないなあぁ…といったところです。これも、勤務先では、先ほど、エンドポイントではKasperskyを利用しているということ申し上げた。Kasperskyには、脆弱性管理ツール、というのがあり、Kaspersky Endpoint Security for Business Advanced版だとその脆弱性対策もできるようになっている。Kaspersky Vulnerability and Patch Management (KVPM)という機能がある。他社製品にも、Windows update管理は行います、といった製品はあるけれど、Kasperskyの良いところは、Windows updateだけでなく、脆弱性攻撃として狙われやすい数十個のソフトの脆弱性対策も行えるといった製品なのです。Kasperskyについては、日を改めて紹介していくことにしましょう。まぁ、KVPMがうまく動いているPCであれば、③については大丈夫、といったところでしょうか。

問題は①②、なんぞや?といったところでしょう。

Moneroクリプトマイナー、「OutlawのMoneroクリプトジャッキングが拡散の兆し(Cylance、2019/5/20)」サイランス社が詳しく記事を投稿している。この記事では、今後は、身代金請求といったあからさまな攻撃を使うランサムウエアから、より時間をかけてより多くの被害者から密かに少額の報酬をかき集める、いわば採掘するクリプトマイニングマルウェア(別名クリプトジャッキング)が一般的になるということを示唆しているという。

次に、Flawed-AmmyyとCryxosマルウェア亜種ですが、「日本も狙うサイバー犯罪集団「TA505」の新たな攻撃手法を解説(Trendmicro、2019/7/3)」の記事がわかりやすいかもしれません。Flawed-AmmyyはRATなんですね。RATとは、Remote Administration Tool、Remote Access Toolと言われ、遠隔操作されるツールです。

RATについては「マルウェアに感染したらどうなるのか。【RAT編】(FFRI、2019/7/24)」FFRI社の記事がわかりやすいかもしれません。遠隔操作によって、エンドポイント(端末)が乗っ取られ、感染者は気づかずに攻撃が進行されてしまうという、恐ろしい犯罪です。

話は戻し、Flawed-Ammyyとは、例えば添付されたMicrosoft Officeを開くと、悪意のある関数マクロが実行され、ファイルがダウンロードされ、マルウエアが実行されます。この処理に、最近では、セキュリティソフトでさえ検知が困難となりつつあるPowerShellで処理されてしまう軽い添付ファイル(実行すればマルウエア)が増えてきている情報は確認している。

つまり、最近のマルウエアは、添付ファイル自体にはついておらず、ファイルを開いた際に実行されて、ファイルが落ちてくる、そして実行させられることで脅威が発生している、という流れになっているのではないか、と考えられます。そうした時に、マルウエアをダウンロードする場合、暗号化されていないHTTP通信だと、一般的なUTMでひょっとしたらウイルス駆除機能でブロックされるかもしれない。しかし、暗号化されていれば、フィルタされないため落ちてくる。そこが、今後の大きな問題に発展していくんだろうなぁ…。

 

当記事で言いたいこと、「SSLインスペクション」しても、設計によっては、あまりWeb表示においては、とんでもなく遅いということにはならない。けれど、SSLインスペクション有効によって利用できなくなるサービスもあるので、十分な検証が必要、そして、1ヶ月程は、並行運用(2台化)で、問題発生したら、すぐ戻せる状態にしておく、といったことが、必要なんではないか、と思えます。

 


Twitterでフォローしよう

おすすめの記事