ゼロデイ攻撃: やられてから対策するよりも事前の障害物配備を, と訴えるCyvera

消費者や企業団体を襲うIT関連のすべての脅威の中で、いちばん深刻なのがゼロデイ攻撃(zero-day attacks)だ。ゼロデイ攻撃はその名のとおり日本語解説〕、事前にパッチで対策しておくことができない。現状では、一旦起きたゼロデイ攻撃は、その対策にほぼ10か月を要する、と言われている。

イスラエルのセキュリティ企業Cyveraは、そんな状況を変えようとしている。同社が考案したゼロデイ攻撃対策は、軍がゲリラ対策として使用する障害物を、ソフトウェアで実装するものだ。同社は今日(米国時間8/13)、事業拡大のために1100万ドルの資金調達を行った、と発表した。

その投資ラウンドを仕切ったのはBattery Venturesだが、投資家の中には合衆国のトップテクノロジ企業10社が匿名で参加している。また、投資家としても有名なEhud Weinstein教授とOfir Shalvi博士も、この投資に参加した(両人はとりわけ、Appleが買収したAnobit Technologiesの協同ファウンダとして有名だ)。この前には、Cyveraはローンチ直後の2012年の3月にBlumberg Capitalから210万ドルを調達している。

Cyveraの協同ファウンダで協同CEOのNetanel Davidiによると、匿名希望の合衆国企業はいずれも高名なハードウェア企業やソフトウェア企業だが、Appleは含まれていない。それは、投資者にAnobitの協同ファウンダが名を連ねているところから見ても、当然だろう。

Cyveraの創業時以来の社員の中には、コンピュータ犯罪捜査の専門家や、イスラエルの諜報機関でセキュリティ管理を経験した者もいる。そこで同社が提供するセキュリティ対策も、軍事的なアプローチになりがちだ。同社と対照的に今の一般的なセキュリティソリューションは、ファイヤウォールや、侵入被害の結果としてできるブラックリスト/ホワイトリストに依存するものが多い。Davidiは曰く、“今のソリューションの多くは、ネットワーク上やエンドポイントにおける被害の同定や検出にもっぱら注力している。つまり、犯行や異状が実際に起きてから、原因を特定しようとする。それも悪くはないが、しかし良くもない”。

これに対してCyveraの旗艦製品であるTRAPS(Targeted Remote Attack Prevention System)〔特定ターゲットに対するリモート攻撃防止システム〕は、何でもかんでもブロックしモニタし同定しようとするのではなく、クライアント上に起きうるいくつかの具体的な攻撃に絞って、それらに対する障害物を置く。それらの障害物は、攻撃を阻止するものもあれば、攻撃を手間取らせてその間にストレージの遮断等を行ったりする。“うちのこのやり方がユニークなのは、攻撃者を同定するよりも、まず彼らを引き寄せることだ”。

Davidiの話を聞いて思い出すのは、昔ダンジョンゲームで遊んだことや、ヨーロッパの中世のお城を訪ねたときのことだ。たとえば、迷路があって、それがだんだん狭くなり、攻撃者が身動きとれなくなったところで、やっつける。ファイヤウォールのように門前で撃退するのではなく、いったん入れてから、なぶり殺しにする。

Davidiの話も、なんとなく中世的だ。“真冬に、側溝を這って登ろうとしているやつがいたら、そいつを窓から監視することはできる。でもうちのやり方では側溝を加熱して、熱くて触れないようにするのだ”。基本的に、Cyveraのシステムは各種の障害物として進化している。たとえばCyveraのReflectorというプロダクトは、過去の犯罪の証拠分析に基づいて作った事前防止策だ。

同社の製品はいずれも(同社サーバ/クラウド上でなく)クライアントベースのプラットホームで、今はWindowsベースのサーバやデバイスに対応している。“今は企業においてもデバイスの多様化が進んでいるが、それでも依然として、Windowsが最大の被害者だ”、と彼は言う。“ネットワークのコアも、やはりWindowsがほとんどで”、だからゼロデイ攻撃もその大半はWindowsを襲う。ただし、年内にはMacOS対応を完成させ、2014Q2にはAndroidとLinuxにも対応する予定だ。

テルアビブに本社のある同社は、今度の資金で合衆国(サンフランシスコ)にも事業所を構える。また、製品を、従来のエンタプライズオンリーから消費者向けにも多様化していく。その消費者製品は、Davidiによると、機能的にはこれまでのCyvera製品に似ているが、新たにビッグデータという重要成分が加わるだろう。“今、さまざまな犯行やゼロデイ攻撃のデータベースを作っているが、そのためのデータポイントが増えるという意味でも、消費者製品への進出は重要だ”。今後はIntelのMcAfeeとの提携により、2~3年後にはそのデータベースの情報がクリティカルマス(臨界質量)に達するだろう。

しかし一方、攻撃はこのところ増加している。Ponemon Instituteによると、2012年のサイバー攻撃は前年比で42%増加し、“成功した”攻撃の件数は一社平均で毎週2件にもおよぶ。年間の被害額は、一社平均890万ドルに達している。金額だけでなく、企業の信用や評判の低下、という被害も見過ごせない。

画像: Flickr

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))