データ・シートを表示 - EMC Japan

by user

on 28 марта 2017

Category: Documents

>> Downloads: 1

views

Report

Comments

Description

Download データ・シートを表示 - EMC Japan

Transcript

データ・シートを表示 - EMC Japan

RSA® FraudAction Anti-Trojan Service
SM
トロイの木馬対策サービス
これまでになく革新的かつグローバルに組織化されている犯罪ネットワークは、様々なオンライン・サービ
スを脅威に陥れています。犯罪者は最新のテクノロジーを駆使して洗練された地下経済を作り上げており、
トロイの木馬やクライムウェアの蔓延は、このような地下経済の繁栄を示す象徴です。トロイの木馬とクライ
ムウェアが増加している理由はひとつではありません。
フィッシング詐欺に対する認知が消費者に浸透し、偽サイトに誘導し個人情報の入力を求めるような怪しい
E メールに簡単に騙されるケースが少なくなってきました。そのためフィッシング詐欺によるクレデンシャル
情報の不正入手確率が低下し、犯罪者の収益減少につながりました。また、多くの企業が不正に対抗するセ
キュリティ対策を取り入れたため、従来の攻撃手法では効果が上がらなくなってきました。
これらの結果、犯罪者は収益減少から脱却するために、クライムウェア、特にトロイの木馬を使った新しい攻
撃手段をとるようになりました。
RSA FraudAction の中核である RSA FraudAction
概要
●
●
●
●
Anti-Trojan Service トロイの木馬対策サービスは、ク
悪意を持ったソフトウェアであるトロイの木馬に
レデンシャル情報搾取を目的としたトロイの木馬による
よる被害を最小化
攻撃と被害拡大を防止します。ご契約後、攻撃発生を想定
トロイの木馬やクライムウェアの分析を専門とす
した対応の完備を支援します。攻撃発生時には、搾取され
る研究部門による 24 時間 365 日の対応
たクレデンシャル情報が保管されているサーバーの分析
包括的なブロッキング・ネットワークにより、新た
や、そのクレデンシャル情報を迅速に抽出し、悪用される
なユーザー感染を防止
前に脅威を最小限にとどめます。
35 万件以上のフィッシング・サイトの閉鎖実績
● サービス内容
RSA® FraudAction Anti-Trojan Service
■
トロイの木馬の識別、アラート
■
感染ポイント*1、
ドロップ・ポイント* 2、コントロール・
SM
ポイント * 3、トロイの木馬の運用方法の分析を含む詳
トロイの木馬対策サービス
細分析
RSA FraudAction は、クレデンシャル情報の搾取手段
■
ダッシュボード表示による対応状況の把握、レポート
として用いられるフィッシング詐欺やトロイの木馬による
■
FraudActionブロッキング・パートナーによるブロッキ
■
感染ポイント、ドロップ・ポイント、コントロール・ポイ
手続き後、迅速にサービスを利用開始できます。
■
クレデンシャル情報の抽出とその保全
オンライン犯罪の最新動向を常時把握している専任のア
■
ミュール・アカウント*4 情報の抽出
ナリストで構成される RSA Online Threats Managed
■
対抗措置（おとり情報による追跡）
攻撃の予防、検知、サイト閉鎖を行うマネージド・サービ
スです。RSA FraudAction は、オンライン・サービスの
ング
システムや利用者の利便性に影響をもたらしません。
ントをターゲットにしたシャットダウン
Services（オンライン脅威マネージド・サービス・チーム）
が RSA FraudAction を担っており、本サービスを契約
している企業に最新の情報をお届けします。
*1: トロイの木馬を取り込むきっかけとなったサイト：感染元サイト
*2: コンピュータに取り込まれたトロイの木馬により搾取された情報の送信先
：収集サイト
*3: コンピュータに取り込まれたトロイの木馬に対して、制御を実行するリモー
ト・ポイント：指令サイト
*4: 犯罪者が搾取した金銭の送金先として用いる不正口座
RSA のマルウェア検知ネットワークには、数多くのパー
特長
トナーが参加しています。パートナーが検出したクライ
● 識別と分析
ムウェアは、24 時間 365 日稼働の RSA AFCC（RSA
インターネット・バンキングに代表される金銭取引が絡
Anti-Fraud Command Center：オンライン不正対策
むオンライン・サービス利用者に仕掛けられるトロイの
指令センター）に送られ、トロイの木馬分析が開始されま
木馬は、金銭の搾取が最終目的です。
す。クライムウェアは「Unified Feed」と呼ばれる判定エ
なぜ、トロイの木馬の検知は困難なのでしょうか？トロ
ンジンで処理されます。この判定エンジンは、過去に
イの木馬は多くの場合、他のクライムウェアやスパイウェ
RSA FraudActionトロイの木馬対策サービスの契約顧
アのように、人々の注目を集めるために作られていません。
客を狙った既知のトロイの木馬と一致するかどうかを判
PC に侵入した後も、見分けられない方法で動作する設
定します。一致が判明すると、RSAトロイの木馬アナリス
計のため、被害者はその存在に気付くことさえほとんど
トに送られます。アナリストはリバース・エンジニアリン
ありません。このようなトロイの木馬が、大半のアンチウ
グによりクライムウェアを分析し、通信チャネルとビジネ
イルス・ソフトウェアで何ヶ月も検出されないことも不思
スへの影響を明らかにします。分析結果は要約され、顧客
議ではありません。RSA FraudActionトロイの木馬対
企業に報告されます。
策サービスは、トロイの木馬を駆逐するノウハウを持つ
様々なテクノロジー・パートナーと連携してマルウェア検
● レポート
知ネットワークを構成し、トロイの木馬に対して高水準の
ダッシュボード・ポータル
検出率を実現しています。
RSA FraudAction は、ダッシュボードと呼ぶレポート専
用ポータルサイトを提供します。ダッシュボード画面は、
アンチウイルス製品ベンダー
トロイの木馬に起因する攻撃への対応（インシデント）の
これらのパートナーは、個人の家庭用コンピュータに
概要と詳細情報を常時、更新します。既知の全攻撃の詳
アンチウイルス・ソフトウェアを提供しています。独自
細とそれらに関する重要な情報も見やすく、ひとつのレイ
の検知機能と、
「疑わしい」動作をするクライムウェア
アウトで表示します。契約顧客でアクセス権限を持つ人は、
を認知する専用エージェントにより、未知のクライム
ダッシュボードにリアルタイムかつ安全にアクセスでき、
ウェアによる攻撃を検出します。
全攻撃の全体的状況を随時、参照できます。
ダッシュボードで掲載する、インシデント・レポートには
情報提供ベンダー
以下の情報が含まれています。
（表示は英語です）
これらのパートナーは、悪意ある仕掛けを持つ既知の
■
Attack ID
Web サイトを調査したり、インターネットの地下社会
■
ISP/Registrar
に存在するソーシャル・ネットワーキング・フォーラム
■
Attack Detection Time（攻撃検知時刻）
を調査するなどして、クライムウェアの脅威を検出して
■
Trojan Family（トロイの木馬ファミリー）
います。
■
Trojan Characteristics（トロイの木馬の特性）
■
Mitigation Steps Taken（実施された対応手順）
■
Infection, Drop & Update Points（感染、ドロップ、
■
Operation Report（オペレーション・レポート）
インターネット・ゲートウェイ
これらのパートナーは、E メールが通過するインター
コントロール・ポイント）
ネット上の主要ハブで毎日数十億通にのぼる E メール
をスキャンしています。これにより、クライムウェアの
オペレーション・レポート
早期検出が可能になります。
オペレーション・レポートは、ダッシュボード上にインシデ
自動クローリング・パートナー
ント情報がアップロードされ累積していきます。レポート
これらのパートナーは、
「ハニーポット」とプロアクティ
には現時点までのすべてのインシデントと、以下の情報が
ブな Web クローリングによるクライムウェアの検出に
インシデント・レポートによるデータに加えて示されます。
重点を置いています。Web クローリングには、未知の
■
MD5 ハッシュ
変種を検出する機能があります。
■
トリガーのタイプ 1
■
■
ファイル・サイズトリガー
■
主な機能
● ブロッキング
提供するオンライン・サービスのアカウント所有者である
既知の感染ポイントへのアクセスを協力して防止するの
可能性があります。
が FraudActionブロッキング・ネットワークです。ISP を
クライムウェアの系統を分析後、悪意あるものとみなされ
はじめとし、下記の各分野の主要企業が参加しています。
ると、発見済みの感染ポイント、ドロップ・ポイント、コン
■
ISP ベンダー
トロール・ポイントへのアクセスを予防、阻止するために、
■
インターネット・ブラウザ・ベンダー
FraudActionブロッキング・パートナーに関連情報が提
■
E メール・プロバイダ
供されます。ブロッキングにより、攻撃対象となったオン
■
アンチウイルス製品ベンダー
ライン・サービスのユーザーに対するリスクが大幅に軽
■
アンチスパム製品ベンダー
減されます。
■
ファイアーウォール製品ベンダー
ブロックされた感染ポイントでは、感染による被害者が
■
エンタープライズ・コンテンツ・フィルター製品ベンダー
減少する確率が高まります。ブロックされたコントロー
ル・ポイントでは、トロイの木馬に感染している被害者が、
RSA FraudActionブロッキング・パートナーは、RSA
そのトロイの木馬に対して、新たな更新された場所に誘
が提供する情報に基づき、自社が提供する製品や技術の
導される確率が減少します。ブロックされたドロップ・ポ
ユーザー全体について、トロイの木馬の感染サイトへのア
イントでは、すでに感染してしまった被害者が、クレデン
クセスを阻止します。従って数千万のユーザーがブロッキ
シャル情報を犯罪者に送ってしまう事態を効果的に防止
ング対象となり、その多くは FraudAction の契約顧客の
します。
■Anti-Trojan Service トロイの木馬対策サービスのシステマティックな対応
トロイの木馬とクライムウェアによる脅威を阻止
ブロッキング
クレデンシャル
情報の抽出
アンチウイルス
クライムウェア
被害者のクレデ
オンライン犯罪
感染ポイントと
パートナーと
の感染ポイント、
ンシャル情報を
者の行動を追跡
ドロップ・ゾーン
連携し、攻撃元の
クレデンシャル
取得
クライムウェアの
情報の収集ポイ
動作を分析
ント等を様々な
識別
分析
アンチウイルス
パートナーと
連携し、攻撃元の
クライムウェアの
種類を特定
対抗措置
シャット
ダウン
を閉鎖
ミュールアカウ
ント情報の取得
パートナーへ
通知し、アクセス
をブロック
不正なトランザク
ションを阻止する
ためミュール口座
を追跡
レポート
RSA FraudAction Anti-Trojan Service トロイの木馬対策サービス
RSA eFraudNetwork: オンライン不正情報共有ネットワーク
2
● クレデンシャル情報の抽出
● ミュール・アカウント情報の取得
AFCC は攻撃の発生中と発生後に幅広い調査を実施し、
RSAトロイの木馬研究チームは、進化したトロイの木馬
貴重な追加情報の抽出を試みます。漏洩した個人情報の
を利用した「Man in the Browser（MITB）」と呼ばれる
実際のリストや流出した情報の数、被害者の IP アドレス、
攻撃（コラムを参照）が増加傾向にあると指摘しています。
クライムウェアのバイナリ・コードなどを読み取ることに
MITB攻撃では、オンライン犯罪者がリアルタイムに無認
成功したケースもあります。
可のオンライン・トランザクションを実行し、ミュール・ア
調査は、影響軽減のための他の手順と平行して実施され
カウントと呼ばれる搾取した資金を受け取るための不正
ます。AFCC が漏洩データを抽出できれば、金融機関等
口座に対し送金できます。
の契約企業は情報が漏洩した口座を一時停止させて、攻
RSAはMITB攻撃の影響を軽減できるよう、トロイの木
撃で影響を受けた利用者に連絡をとり、即時に対策をと
馬対策サービスの新機能として、可能な場合は契約顧客
ることができます。貴重な情報によって金融機関等の契
にミュール・アカウントに関する情報を提供します。RSA
約顧客はクライムウェアによる被害を大幅に縮小でき、そ
トロイの木馬研究チームは、下記のようなトロイの木馬の
の利用者をオンライン攻撃から能動的に保護する立場に
通信チャネルからミュール・アカウント情報を取得するよ
立つことができます。
う試みます。
抽出できた漏洩情報は、法執行機関との協力にも重要な
■
コントロール・ポイントの管理パネル
役割を果たします。証拠となるような情報が不足すると、
■
トロイの木馬が埋め込まれたWebサイト
一部の法執行機関は証拠がないために、多数の被害者を
■
ドロップ・サイト
出す可能性がある大規模な事例として扱えないことがあ
ミュール・アカウントの詳細を把握できると、金融機関は
ります。情報は法に沿った方法でのみ収集され、金融機関
等の契約顧客が後日利用するデータの整合性を保持する
ミュール・アカウントに対するその後の取引を阻止し、そ
一連のツールを使用して保管されます。
のMITB攻撃による脅威を軽減できます。
■Anti-Trojan Service トロイの木馬対策サービスのサービスフロー
RSA Anti-Fraud Command Center (AFCC)
オンライン不正対策指令センター
●
❶ 識別、
分析指令サイト、収集サイトを特定
●
❷ 通知
●
❺ 監視、
シャットダウン
●
❸ 情報抽出
クレデンシャルや
ミュールアカウント
感染元サイト
指令サイト
収集サイト
ブロッキングパートナー
詳細情報提供
●
❹ 対抗措置
クレデンシャル情報や
クライムウェア情報
おとり情報の
送り込み
注意喚起
契約企業
エンドユーザー
3
その結果、特定のミュール・アカウントにつながりのある
イトをシャットダウンし、攻撃を無力化します。これまで、
トロイの木馬に感染した利用者がいても、そのミュール・
AFCC は世界中で 20 万以上の不正サイトのシャットダ
アカウントへの送金を防止できます。AFCC を通して
ウンに成功しました。
ISP、Web ホスト元、レジストラと連絡をとり、停止要請
AFCC は言語の壁によって生じるハードルに対し、アラビ
手順を開始すれば、不正サイトシャットダウン・プロセス
ア語、オランダ語、ドイツ語、日本語、ロシア語、中国語、
のスピード化にもつながり、攻撃の全体的な影響を軽減
英語、ハンガリー語、韓国語、スペイン語、チェコ語、フラ
することもできます。
ンス語、イタリア語、ルーマニア語、スウェーデン語をはじ
めとした15ヶ国語以上で停止要請依頼書を発行できま
● 対抗措置
す。また150 以上の言語にわたる多言語サポートとリア
RSA が独自に開発したおとり情報による追跡は、金融機
ルタイム翻訳サービスを活用し、攻撃のホスト元が世界
関等の契約企業がオンライン不正行為を積極的に予防で
中のどこであっても、不正サイトを迅速にシャットダウン
きる対抗策です。犯罪者の不正な活動を追跡し、逮捕の
することができます。
機会を増加させます。おとり情報による対抗措置は、
RSA は、世界中の主だった金融機関にRSA FraudAction
Randomized Credentials Technology を用いてクラ
サービスを提供しています。この実績により、世界中の代
イムウェアのアプリケーションに一定のダミー情報をおと
表的な ISP やレジストラと緊密で継続的な関係を築いて
りとして入力し、入力されたダミー情報を利用した不正
います。
活動を検出できるようにしたものです。攻撃者が不正を働
くためにその情報を利用しようとしたときに、おとり情報
はその攻撃者にマークを付けます。RSA がおとり情報で
進化する脅威：Man in the Browser 攻撃
使用されるすべての情報が入ったファイルを顧客企業に
Man in the Browser（MITB）攻撃は、ユーザー
提供するため、契約企業はバックエンドの不正検知システ
のコンピュータに潜み込んだトロイの木馬が、
ムを調整し、おとり情報の利用を検出して犯罪者の活動
ユーザーのオンライン取引をリアルタイムに検出、
追跡が可能になります。
取引を傍受して不正を実行します。ユーザーを不
正な Web サイトに誘導するフィッシング攻撃と
● シャットダウン
異なり、MITB 攻撃はユーザーがブラウザに URL
クライムウェアによる攻撃への対処を早期に行うほど、損
を入力するか、または保存されているブックマー
害は小さくて済みます。しかし、不正な感染ポイント、コン
クをクリックしただけで発生します。E メールや
トロール・ポイント、ドロップ・サイト、ドロップ E メール
その他の通知手段がきっかけで引き起こされる
（搾取したクレデンシャルを受信するメールアカウント）
ものではありません。
の遮断は想像よりも複雑です。それらのポイントやサイト
MITB 攻撃は、不正送金がリアルタイムで実行可
をホストしている事業者の営業時間帯や休日、言語、法律
能なセッション・ハイジャックや送金マルウェア
など、国により異なる諸問題を考慮しなければなりません。
と似たような動作をします。しかし、単にクレデ
クライムウェアは多くの場合において無数の変種が存在
ンシャル情報（オンライン・バンキングのユーザー
するため、フィッシングよりはるかに「見えにくく」、ずっと
名、パスワード、クレジッドカード番号など）のよ
複雑です。
うに、後日利用できる情報を盗むことには重点を
クライムウェア攻撃のシャットダウン・プロセスを開始す
置いていません。MITB 攻撃は中間者攻撃の一種
る前に、搾取されたクレデンシャルの抽出やクライムウェ
ですが、トラフィックの中ではなく、ブラウザ内と
ア自身の進化など、いくつかの要素を考慮する必要があ
いう、ユーザーにより近いところで実行されます。
ります。RSAトロイの木馬研究チームはこれらの要素に
そして動作が実際にユーザーの PC 上で起こるた
基づいて、シャットダウン・プロセスを開始するかどうか
め、MITB 攻撃の検知と防止がさらに難しくなり
の決定を下します。
ます。
AFCC は、RSA FraudAction の契約企業に代わり、ISP、
代表的なブラウザである Internet Explorer と
®
®
ホスティング事業者、ハイジャックされたコンピュータや
Firefox はどちらも被害にあっています。
Web サイトの所有者などとの交渉を経て、不正 Web サ
4
販売代理店
EMC ジャパン株式会社
RSA 事業本部
〒100-0005 東京都千代田区丸の内 1-3-1 東京銀行協会ビルヂング
Tel（03）5222-5230
http:// japan.rsa.com
[email protected]
RSA および FraudAction は、米国 EMC コーポレーションの米国およびその他の国
における商標または登録商標です。
RSA フロードアクショントロイの木馬対策サービス
RFAATS DS 1101