※ 2018 年 5 月 18 日現在の情報をもとに作成しています
1. はじめに
Umbrella にはマルウェアなど 8 種類のセキュリティ カテゴリが用意されており、個々のカテゴリをブロックするか否かをポリシーの中で設定できます。本記事では、これらのカテゴリでブロックを有効/無効にする際の参考情報を提供します。
2. マルウェア (Malware)
マルウェアとは、データ、コンピューター、ネットワークなどに悪影響のある不正なコードやソフトウェアの総称です。
このカテゴリを有効にすることで、マルウェアを提供しているサーバーやマルウェアに感染している Web サイトへのアクセスをブロックします。なお、マルウェアが通信に使用しているアプリケーション、プロトコル、ポートの種類は問いません。
3. Newly Seen Domains
最近問い合わせを受けるようになったドメインは、数日の間、Newly Seen Domains のカテゴリに分類されます。このようなドメインは、新たなマルウェア展開やフィッシング詐欺などに使われることがあり、このカテゴリを有効にすることで、そういった攻撃を未然に防ぐことができる可能性があります。
ただし、正規に取得されたドメインも検知対象となってしまうため、このカテゴリは既定でブロックが有効になっていません。
なお、Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) への DNS リクエストの数が膨大なため、一部の DNS リクエストをサンプリングして Newly Seen Domains の判断を行っています。
4. Command and Control Callbacks
Command and Control Callbacks とは、マルウェアの一種である「ボット」に感染したデバイスが、インターネット上の命令や制御を行うサーバー、いわゆる C&C サーバー (Command and Control Server) と連絡を取る (Callbacks) ことを意味します。
このカテゴリを有効にすることで、C&C サーバーとの間で行われる通信 (アプリケーション、プロトコル、ポートの種類を問わない) をブロックできます。
また、これまで検知した Command and Control Callbacks イベントを確認することで、ボットに感染したデバイスを組織内で発見できる可能性があります。
5. Phishing Attacks
Phishing Attacks はいわゆるフィッシング詐欺のことで、偽のウェブサイトを使って個人情報や金銭に関する情報などを盗む攻撃手法です。
このカテゴリを有効にすることで、フィッシング サイトへのアクセスをブロックできます。
6. Dynamic DNS
Dynamic DNS は、IP アドレスが動的に変更される環境において、ドメイン名に紐づく IP アドレスを都度更新する技術です。Dynamic DNS サービスを利用することで、固定 IP アドレス環境と同じように、サーバーをインターネットに公開できます。一方で、悪意のある Web 広告 (Malvertising) や標的型のフィッシング詐欺に使われる場合があります。
このカテゴリを有効にすると、Dynamic DNS サービスが使用しているドメインをブロックできます。
ただし、正当な目的で使用されているドメインも検知対象となってしまうため、このカテゴリは既定でブロックが有効になっていません。
7. DNS Tunneling VPN
DNS Tunneling VPN とは、DNS プロトコルの中に情報を埋め込み、まるで VPN Tunneling を使っているかのように秘密裏に外部とやり取りをする技術です。アンチウィルス製品がファイルを検査する際など、正当な目的で使用される技術ですが、機密情報の持ち出しや、Command and Control Callbacks の中で悪用されることがあります。
このカテゴリを有効にすると、DNS Tunneling VPN サービスが使用しているドメインをブロックできます。
ただし、正当な目的で使用されているドメインも検知対象となってしまうため、このカテゴリも既定ではブロックが有効になっていません。
8. Potentially Harmful Domains
悪意をもって作られた可能性が疑われるものの、その確実性が低いドメインは、Potentially Harmful Domains のカテゴリに分類されます。
このカテゴリに含まれるドメインの例としては、前述の DNS Tunneling VPN において、まだ使用用途が解明されていないドメインが挙げられます。
このカテゴリも正当な目的で使用されているドメインが検知対象となる可能性があるため、既定ではブロックが有効になっていません。
9. Cryptomining
仮想通貨のマイニング プールやマイニングのためのソース コードが格納された Web ページなどが対象となっており、それに関係したマルウェアをブロックできます。
ただし、正当な目的で使用されているドメインも検知対象となってしまうため、このカテゴリも既定ではブロックが有効になっていません。
10. 補足
ブロックが無効となっているセキュリティ カテゴリについても、Security Activity レポートなどに検知内容が出力されますので、必要に応じてブロックを有効にするという運用が可能です。
11. 参考情報
Understanding Security Categories
https://support.umbrella.com/hc/en-us/articles/115004563666-Understanding-Security-Categories
Newly Seen Domains Security Category
https://support.umbrella.com/hc/en-us/articles/235971407-New-Security-Category-Newly-Seen-Domains
Two New Security Categories: DNS tunneling VPN and Potentially Harmful
https://support.umbrella.com/hc/en-us/articles/115001077988-Two-New-Security-Categories-DNS-tunneling-VPN-and-Potentially-Harmful
New Security Category: Cryptomining
https://support.umbrella.com/hc/en-us/articles/360000438283-New-Security-Category-Cryptomining
Announcing New Security Categories
https://umbrella.cisco.com/blog/2013/08/08/announcing-new-security-categories/