トーテックアメニティ株式会社

http://www.totec.jp/

製品・サービス情報

ボットネット対策 (ネットワークセキュリティ診断)

本当に大丈夫ですか? 貴社のセキュリティ対策!

お知らせ
ボットネット活動調査キャンペーン実施中
現在、ボットネット活動調査のキャンペーンを実施中です。この機会にぜひご試しください。
キャンペーンについてのお問い合わせ・お申し込みなどは【 製品・サービスお問い合わせフォーム 】をご利用ください。 製品・サービスお問い合わせフォームはこちら
  • 背景
  • 概要
  • 実施イメージ

背景

情報漏洩の一因となる「ボット」とは?
「ボット」とは、コンピュータウイルスの一種で、その動作がロボット(Robot)に似ているところから、ボット(bot)と呼ばれています。
これに感染したコンピュータは、悪意のある第三者(攻撃者)によって操られ、「迷惑メール(スパム)送信」、「特定のWebページへの攻撃(DDoS攻撃)」、「感染活動」などの迷惑行為に利用されたり、コンピュータ内の情報を盗み出すスパイ活動によって個人情報や機密情報が漏洩するなど、深刻な被害が発生します。
ボットに感染したコンピュータによって構成されたネットワークは「ボットネット」と呼ばれ、攻撃者はボットネットに接続した多数のコンピュータを一度の命令で操作することができます。
概要図
爆発的に増加するセキュリティ脅威
概要図 2010年現在、Symantec社では、1日27,000個の定義ファイルを作成していますが、他社セキュリティベンダーも含め、サンプル収集・解析は間もなく限界に達するような状況です。
ボットの侵入経路 ~ボットネット化してしまう要因は、やはり標的型攻撃から~
  • 概要図 経路(1) ネットワーク感染型 Windows等のOSや、その他プログラムの セキュリティホール(脆弱性)や設定の不備を悪用されて感染する。インターネット等のネットワークに接続するだけで感染する。
  • 概要図 経路(2) メール添付関連型 迷惑メールの添付ファイルをクリックし 感染する。
  • 概要図 経路(3) Web誘導感染型 迷惑メールのURL等をクリックし、アクセスしたページからウイルスをダウンロードして感染する。
  • 概要図 経路(4) Web閲覧感染型 ブラウザで閲覧したホームページに埋め込まれたウイルスをダウンロードして感染する。ホームページを見ただけで感染することもある。
  • 概要図 経路(5) 外部記憶媒体感染型 USBメモリ、デジタルカメラなどの外部記憶媒体を介在して感染する。
標的型攻撃では、経路(2)「メール添付感染」と経路(3)「Web誘導感染」がその要因の90%を占めています。
続いて経路(5)「外部記憶媒体感染」が7%、経路(4)「Web閲覧感染」が3%となっています。
標的型攻撃で利用されるボット
【 侵入 】 既存のセキュリティ対策を回避
メール/USBによる不正プログラムの侵入・感染 標的型メールやUSBメモリでシステムに侵入する。
脆弱性を利用し、従来のウイルス対策では検知できない場合が多い。
【 検出 】 通信経路を確保し様々な準備を行う。
新たな不正プログラム(ボット)のダウンロード 侵入したシステムにバックドアを仕掛け、外部のC&Cサーバと通信を行い、
拡散や機能強化を行う。
ボット経由による侵入・調査 感染したPC経由で重要なサーバの場所を突き止め、
キーロガーでパスワードを解析し重要な情報へのアクセス権を奪取する。
【 取得 】 環境を把握し支配権を得る。
社内ネットワークへの不正アクセス 重要なシステムに対して侵入を試みる。
アクセスログなどのアクセス履歴が編集(削除)され被害に気が付かない場合がある。
【 転送 】 資産を外部に移動する
機密情報の漏えい 外部に乗っ取られたPCを経由(または直接)サーバへアクセスを行い重要な情報を搾取し、
社外へ持ち出す。
インシデント対応のライフサイクルと検知・分析の重要性
準備
手順書の作成
CSIRTの設置
検知、調査機能の実装
訓練の実施
検知と分析
前兆や兆候の検出
兆候の分析
優先順位付け
通知や報告
封じ込め・根絶・復旧
状況の確認
被害拡大の防止
インシデント原因の調査
復旧
事後の対応
セキュリティ対策の改善
インシデント対応の評価と改善
証拠の保管
POINT 「検知」と「分析」、つまり現状の把握ができて初めて、「封じ込め」「根絶」「復旧」における適切な対処が可能となる。
POINT ボットによる通信の兆候を検出し、的確かつ容易に分析できる体制(仕組み)が必要である。
また、フォレンジックによるパケットの記録と保全も必要である。

概要

調査方法
  • お客様のネットワーク環境に、Symantec Web Gatewayアプライアンスを接続し、Symantec社のサポートのもとに当社SEがボットネット活動調査・分析を行います。
  • ウイルス対策では検知できなかったマルウェア感染によって活動するボットネットの挙動を把握します。
  • ボットに感染したコンピュータを特定(検知と分析)します。またその後の対策(根絶・復旧)をご支援いたします。
  • ミラーポート接続ですので、ネットワーク環境を変更せず、短期間で実施することが可能です。
調査の流れ (期間:約10日~15日)
概要図
  • (1)事前打ち合わせ  └ ネットワーク構成や設置場所などのヒヤリング
  • (2)導入  └ お客様のネットワーク環境にSymantec Web Gatewayを設置
  • (3)活動調査  └ ボットネットの活動状況を調査(1週間~10日)
  • (4)分析調査  └ 結果を持ち帰り、当社にて報告書を作成
  • (5)報告  └ ボットネット活動状況の報告と今後の対策のご提案

実施イメージ

  • 企業における
    現状のセキュリティ対策の課題
  • セキュリティソリューションによる
    ボット活動の検知および対処

【 Before 】 企業における現状のセキュリティ対策の課題

概要図

【 After 】 セキュリティソリューションによるボット活動の検知および対処

概要図
関連製品・サービスのご案内 ※各製品サイトへリンクします
NetRAPTORNetRAPTOR
(ネットラプター)※
高機能ネットワークフォレンジックサーバ
NetRAPTOREASY FILE EXPRESS
(イージー ファイル エクスプレス)※
大容量ファイル・データ送信サービス
NetRAPTORMagiPass(マギパス)※ ワンタイムパスワード&トークン型の認証ソリューション
製品・サービスに関するお問い合わせ
資料請求、見積依頼、製品・サービスに関する各種お問い合わせはこちらのフォームから承っております。 └ 製品・サービスお問い合わせフォーム

このページのトップへ

製品・サービス情報
採用情報
新卒採用情報2019
新卒採用情報2018
未経験者採用「エンジニアになろう!」
キャリア採用

TOTEC AMENITY LIMITED. All Rights Reserved. since2006.