ブログ

世界のマルウェアの半分が暗号化されている

F5 サムネイル
F5
2021年5月6日公開

目に見えないものが組織に損害を与える可能性があり、暗号化は大きな盲点となります。 F5 Labsによると、世界中のインターネットトラフィックの 80% 以上が暗号化されており、暗号化されたトラフィックの可視性の欠如は重大なセキュリティ上の脅威となります。 Sophosのセキュリティ研究者による最近のレポートによると、2020 年のマルウェアのほぼ半分 (46%) が暗号化されたパッケージ内に隠されていました。 したがって、トラフィック パケットを復号化するリソースを持たない組織では、大量のマルウェアがネットワークに侵入する可能性があります。 暗号化されたトラフィックを可視化できないと、組織の資産はコマンドアンドコントロール通信(およびその結果生じる攻撃)やデータ流出などの悪意のある攻撃に対して脆弱になる可能性があります。

今日、なぜこれほど多くのマルウェアが暗号化されているのでしょうか?

報告書の中で、研究者らは暗号化されたマルウェアの増加の2つの主な理由を特定した。 まず、TLS で暗号化された GitHub や Google Workspace などの正規のクラウドベースのストレージ ソリューションでホストされるマルウェアが増えていることが分かりました。 そのため、ハッカーは信頼できる組織からの既存の証明書を利用して企業を攻撃していました。 第二に、研究者らは、TLS 対応のコード スニペットが広く入手可能なため、悪意のある人物が暗号化を容易かつ頻繁に使用できると示唆しました。 また、新型コロナウイルス感染症の流行中、リモートワークによって正当なトラフィックが増加しているため、組織はセキュリティのバランスを取りながら高い需要に対応することがさらに重要になっています。

しかし、暗号化は決して「悪者」ではありません。 実際、暗号化はデータのプライバシーを保護するために不可欠です。 銀行記録へのアクセスからパスワードの入力、医療記録の確認まで、オンラインで機密データを扱う際、ブラウザ バーに表示される南京錠は、Web を閲覧する際のユーザーの安心感を高めます。 医療記録や財務記録は安全に保たれ、データの盗難や悪用が大幅に減少します。 さらに重要なのは、アプリケーション ホストは、暗号化を推奨するものの必須ではない欧州連合の一般データ保護規則 (GDPR) やカリフォルニア州消費者プライバシー法 (CCPA) など、ユーザーのプライバシーを保護することを目的とした規制に準拠し続け、ユーザーのデータを適切に管理できるということです。

しかし、悪意のある人物が TLS 証明書を入手する可能性もあります。 暗号化は、ユーザーのデータ プライバシーを保護するのに役立ちますが、暗号化を解除して、環境に侵入する悪意のあるペイロードや、送信トラフィック上の機密データの流出やコマンド アンド コントロール通信を検査しないと、企業にとって重大なリスクが生じる可能性があります。 無料ですぐに入手できる TLS 証明書を使用すると、アプリケーション ホストはユーザーのデータ プライバシーを安価に保護できますが、悪意のある人物が証明書の背後にマルウェアを隠すこともできます。 そして、彼らにとってそうすることがますます容易になってきています。

非効率的な復号ソリューションは、複数のセキュリティ障害につながる可能性があります

組織では、データ損失防止ソフトウェア (DLP)、次世代ファイアウォール (NGFW)、侵入防止システム (IPS) などのセキュリティ スタック内のデバイスを使用して、ネットワークを通過するトラフィックを復号化し、パッケージにマルウェアがないか検査し、再暗号化することで、暗号化されたトラフィックの脅威にすでに対処している可能性があります。 これらのセキュリティ ソリューションはパケットの暗号化解除に使用できますが、その効果はそれほど高くなく、効率的でもありません。

これらのソリューションは、トラフィックの復号化という計算集約的なタスクではなく、セキュリティに対処するために設計されました。 貴重なエネルギーとサイクルをセキュリティという主なタスクから奪うと、デバイスが過負荷になり、意図しないトラフィックのバイパスが発生し、エクスプロイトや攻撃につながる可能性があります。 セキュリティ デバイスを「デイジー チェーン」構成で連結すると、一連のライトのように、複数の障害点が発生する可能性があります。 電線に電気が流れているときに 1 つのヒューズが切れると、ストリング内の切れたヒューズ以降のすべてのライトも消灯し、機能しなくなります。 各コンポーネントは障害が発生する可能性がある点です。 1 つの要素がダウンすると、システム全体 (またはセキュリティ スタック) に影響が及びます。

セキュリティ デバイスをライト ストリングのようにデイジー チェーン接続することも、コスト効率や効率の面で不利です。 このモデルは、複数の障害点を生み出すだけでなく、さまざまなサービスへのサブスクリプションを必要とする(またはオーバーサブスクリプションを促進する)ことでセキュリティの総所有コスト(TCO)を増加させ、エンドユーザーの待ち時間が長くなり、複雑さが著しく増大します。 これは、多くの組織が暗号化された脅威に非現実的かつ不十分な方法で対処していることを意味し、アプリケーション アクセスの低速化に関連してエンド ユーザーにさらなるフラストレーションを与えている可能性もあります。 幸いなことに、 F5 SSL Orchestrator は暗号化されたトラフィックを検査するために特別に構築されています。

回復力のあるインフラストラクチャセキュリティのオーケストレーション

F5 SSL Orchestrator は、すべての受信および送信 SSL/TLS トラフィックのコスト効率の高い可視性とオーケストレーションを提供します。 F5 SSL Orchestrator は、セキュリティ サービスを繊細なシリーズでデイジー チェーン接続する代わりに、ポリシー ベースのトラフィック ステアリングを使用するコンテキスト分類エンジンを使用して、セキュリティ チェーン全体のトラフィック復号化をインテリジェントに管理する動的サービス チェーン モデルを採用しています。 このシステムは回復力があり非線形であるため、1 つのセキュリティ サービスが停止しても、システムは引き続き組織の資産を保護できます。 SSL Orchestrator は、既存のセキュリティ ソリューションを簡単に挿入して、稼働時間の最適化、サービスのグループ化、高度な監視機能、セキュリティ ソリューションのスケーリングおよび負荷分散も提供します。

F5 SSL Orchestrator がビジネスのセキュリティ強化にどのように役立つかについて詳しくは、 Sales@f5.comまでお問い合わせください。