2018年8月20日
株式会社Doctor Web Pacific
PCまたはスマートフォンにインストールされている従来のアンチウイルスは、悪意のあるコードのダウンロードや起動を防ぎます。また、トラフィックスキャンコンポーネントがインストールされている場合、パッチが適用されていない脆弱性を悪用して攻撃するコードインジェクションからアプリケーションを保護します(例えば、不正な画像、トロイの木馬が脆弱なプログラムに干渉するのを防ぎます。)。
しかし、企業では自社の環境に存在する脆弱なすべてのデバイスに対して、アンチウイルスをインストールすることはできません。そのため、企業はネットワークを保護するために、サーバ環境へのウイルス対策ソリューションの採用が推奨されています。メールサーバやゲートウェイ用のウイルス対策ソフトウェアは、PC、サーバ、その他のデバイスによって処理される前に、受信したトラフィックをスキャンします。このようなセキュリティ対策が施された環境の場合、ネットワーク上に存在するコンピュータ上のアプリケーションは、未知またはパッチ適用されていない脆弱性を利用した攻撃から保護されます。
このような典型的なセキュリティ対策を施されたネットワークの構成図は次のようになります。
ただし、メールサーバやインターネットゲートウェイにも脆弱性が存在している可能性があります。最近次のようなニュースが報じられました。
5つの脆弱性がMicrosoft Exchangeで同時に修正されました。そのうちの1つ (CVE-2018-8154) は特に危険です。攻撃者はSYSTEM特権でコード実行を開始するために特別に細工された電子メールをMS Exchangeサーバに送信するだけです。
Microsoft Exchangeソフトウェアにリモートでコードが実行される脆弱性が存在しているため、ソフトウェアがメモリ内のオブジェクトを適切に処理できません。この脆弱性を悪用した攻撃者が、システムユーザーのコンテキストで任意のコードを実行し、プログラムをインストールする可能性があります。また、データの表示、変更、削除に加え、新しいアカウントの作成もすることもできます。
このセキュリティホールに対するセキュリティアップデート用のパッチは既にリリースされていますが、
- 私たちは皆、サーバマシンがどのくらいの頻度で更新が適用されているのか知っています。
- 1つの脆弱性が発見された場合は、さらに多くの脆弱性が検出されています。
そして、私たちが推奨しているネットワーク構成図はより複雑なものになっています。当然のことながら、インターネットゲートウェイ用のアンチウイルスは、常にインバウンドトラフィックをスキャンする最初のものになります。ただし、ウイルス対策メールゲートウェイ(SMTPプロキシ)を使用して、データフローがメールサーバに到達する前にスキャンすることができます。アンチウイルスSMTPプロキシは、詳細なメールトラフィックの分析を容易にします。それには多くの利点がありますが、この場合、メールサーバの保護がその主な仕事です。
#corporate_security #email #vulnerability #security_updates
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments