スパイウェア対策ソリューションのご紹介
~ 多層保護で実現するスパイウェア対策 ~
Rev1.1
日本アイ・ビー・エム株式会社
スパイウェアとは?
ユーザの意図とは無関係に広告の表示、アプリケーションへの拡張設定や設定変
更の実行、情報収集を行うプログラム
ワーム,ウイルスと異なり、自己増殖機能は持たない
被害例(想定されるものも含む)
- Webブラウザ上に、勝手にタグ、ボタンが追加された - キーボード入力を記録され、勝手に情報が外部へ送信された - セキュリティソフトがオフになってしまった - レジストリ設定の書換 etc..….
参考サイト
スパイウェアおよび他の迷惑ソフトウェアへの対処方法 http://www.microsoft.com/japan/athome/security/spyware/spywarewhat.mspxスパイウェアとは?
-IBM ISSの定義
分析や追跡を行うアクティビティが存在する。
アプリケーションのインストールと実行に関して、ユーザーの承諾を得る正当な手段がない。
メモリ、CPU、または通常のリソースの使用率が不当に高い。
ユーザーのマシンを不安定にするアプリケーション。
企業または業界が認可したセキュリティ機関において、スパイウェアまたはリスクウェアに分類され
るアプリケーション。
*http://xforce.iss.net/xforce/xfaq/index.php#3.10 の訳
スパイウェアはどこからやってくるか?- 被害者を生む経路
① ハイブリッド - spamメールによるスパイウェアサイトのPR - メール中のリンクをクリックして、スパイウェア配布サイトへ・・・ ② Webページへの埋め込み* Æ そうと知らずにアクセスしたら、スパイウェアがインストールされてしまった ・・・・・・なんでハッカーが管理していないWebページに埋め込むことができるの? サーバ所有者が 意図的に配布 Webサーバ①
②
著名な Webサーバ スパイウェア の埋め込み *スパイウェアではありませんが,著名なWebサイトに悪意あるプログラムが 埋め込まれた例として、kakaku.com改ざん事件が挙げられます 不正侵入が行われる際に悪用されるのは、ITシステム上の脆弱性です。 - ITシステム上脆弱性には、OS,アプリケーションのプログラム自身の弱点であるセキュリティーホールや、それらアプリケーションの設定ミス、推測さ れやすいパスワード等が挙げられます
スパイウェア流布のためのIT資産の悪用
- 加害者を生む経路
②
著名な Webサーバ スパイウェア の埋め込み
ハッカーが自らが保有しないサーバにスパイウェアを埋め込むときは、当該サーバへの不正侵入によ
りスパイウェアを埋め込みます
不正侵入!!
「検索と駆除」ではなく、「実行、インストールの阻止」と、感染したスパイウェアの「活動の検出」 - 「実行、インストールの阻止」には、「埋め込みの阻止」も含む 「検索と駆除」 代表例: Ad-Aware(フリーソフト) - ローカルコンピュータ上に既に存在しているスパイウェアを検索して、駆除 - 感染した「後」、もしくは手元デスクトップ上にファイルの書込みが発生してからの対応策 - 特定の「パターン」に依存Æ 新種への対応が後手に廻る IBM ISSのアプローチ - 「実行、インストールの阻止」
•
インストールまたは実行の前にスパイウェアを停止
•
スパイウェアが感染対象マシンに到達する前に検出、防御
- 「活動の検出」•
ネットワークの内部または外部にとの接続を試みるスパイウェア起因のトラフィックを遮断
-
集中管理
•
スパイウェア対策を実現する製品群は、全て統合管理コンソール SiteProtectorにより一元管理され
ます。そのため、万が一スパイウェア感染が発見された場合にも、感染ホストの特定や、当該ホスト
のこれまでのイベント検出状況などの情報を即座に収集,分析する事が可能であり、インシデントレ
スポンスへの移行を支援します。
-
多層保護
IBM ISSの製品群は、ゲートウェイ、ネットワーク、ホストのあらゆるポイント上で、スパイウェアを阻止します
IBM ISSのスパイウェア対策
IBM ISSのスパイウェア対策
-スパイウェアとの接点を阻止するコンテンツフィルター
コンテンツフィルター その1 : Webフィルター
- ネットワークを流れるHTTPトラフィック解析により、 “Spyware”カテゴリに分類される • スパイウェア配布サイト • スパイウェア起因のHTTPトラフィックを受け付けるサイト へのアクセスを検出、防御 - 当該Webフィルターが参照するデータベースは日々更新 - IPS,IDSによる検出、防御を補完
コンテンツフィルター その2 : アンチスパム
- スパイウェアのダウンロードへの誘導を図るスパムメールを検出
コンテンツフィルター搭載製品
- ゲートウェイ型 - Proventia® Network MFSシリーズIBM ISSのスパイウェア対策
-スパイウェアの流入を阻止するVPS
VPS(Virus Prevention System)*
- ネットワークを流れるトラフィック中のファイルを解析し、疑わしい「振る舞い」をするプログラムを検出 • 問題となるスパイウェアの振る舞いを検出し、駆除可能 • 個々のスパイウェアのパターンには非依存
VPS搭載製品
- ゲートウェイ型 - Proventia® Network MFSシリーズ *日本国内は2006年1-3月期リリース予定IBM ISSのスパイウェア対策
-被害者発生を阻止するIPS,IDS
ネットワークを流れるトラフィックのプロトコル分析により、以下の項目を実現します。
被害の予兆をいち早く察知 - スパイウェアに感染させるための手法として利用されることの多いActiveXコントロールを利用してのインストールの試みの検出、 防御に対応 - 特定の実行パターンには依存しない為、後追いの対応にはならない
いくつかの著名な既存スパイウェア起因のトラフィックを検出、防御
- 感染した端末が持ち込まれたとしてもいち早く発見可能
IPS,IDS製品群
- ネットワーク型 - Proventia® Network IPSシリーズ - ゲートウェイ型 - Proventia® Network MFSシリーズ - サーバ用 - RealSecure® Server Sensor / Proventia® Server - デスクトップ用 - RealSecure® Desktop Protector (クライアントPC用)
IBM ISSのスパイウェア対策
-加害者発生「も」阻止するIPS,IDS
IPS,IDSは、スパイウェアを呼び込む要素の検出、防御に限らず、スパイウェアの埋め込みを誘発するサー
バへの不正侵入を阻止します。
不正侵入を引き起こす各レイヤーに幅広く対応 - 不正侵入を招く要素は、ITシステムを構成する各要素に存在するといえます。 - Webサーバを例に考えれば、Webブラウザを通じてユーザに表示する画面情報を最終的に提供するWebアプリケーションを最 上位として、Webサーバアプリケーション、OS、TCP/IPレイヤが存在するといえます。 - IPS,IDSはこれらの各要素を幅広くカバーすることができます。
狙われるセキュリティホールに焦点を当てた保護戦略 - Virtual Patch
TM - IBM ISSのIPS,IDS製品は、不正侵入を狙う個々の攻撃パターンではなく、それらが狙うセキュリティホールを 守ることに焦点を当てている為、特定の攻撃パターンに依存せず、事前防御を実現します。IBM ISS製品群による
スパイウェア対策マップ
-
それぞれの機能が様々な“経路”を遮断する事により多層保護を実現します
サーバ所有者が 意図的に配布 Webサーバ①
②
著名な Webサーバ スパイウェア の埋め込み IPS VPS WF IPS VPS WF IPS AS Webフィルタ (WF) スパイウェア配布の為のサーバの悪用 スパイウェアダウンロードを誘導するスパムメール 不正侵入防御 (IPS) VPS アンチスパム (AS) IBM ISS IBM ISS IBM ISS IBM ISS©Copyright IBM Japan, Ltd. 2008 日本アイ・ビー・エム株式会社
Produced in Japan Jun 2008 All Rights Reserved
●この説明資料の情報は2008年6月現在のものです。仕様は予告なく変更される場合があります。
●記載のデータはIBM社内の調査に基づくものであり、全ての場合において同等の効果が得られることを意味するものではありませ ん。効果はお客様の環境その他の要因によって異なります。
●製品、サービスなどの詳細については、ISSSales@jp.ibm.com弊社もしくはビジネス・パートナーの営業担当員にご相談ください。
IBM、IBMロゴ、X-Force、Proventia Network MFSは、International Business Machines Corporationの米国およびその他の国における商標。 Microsoftは、Microsoft Corporationの米国およびその他の国における商標。
Adobeは、Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標。 他の会社名、製品名およびサービス名等はそれぞれ各社の商標。