[新製品・サービス]

巧妙になるサイバー攻撃にも共通の“テクニック”がある?!パロアルトがビッグデータから発見

2015年5月22日(金)杉田 悟(IT Leaders編集部)

多くのマルウェアが日々新たに発見されている。しかし、その約6割は既存のアンチウィルスソフトでは防御できないとされる。そのため「従来型のセキュリティでは、クライアントやサーバーなどのエンドポイントを守り切れない」というのがセキュリティ業界の最近の主張だ。そうした中、セキュリティベンダーの米パロアルトネットワークスが、マルウェアを防御するための新たな手法を確立。次世代型のエンドポイント防御策となる「Traps」を開始した。どんな手法で防御するというのだろうか。

 パロアルトネットワークスは、世界最大規模のマルウェア分析クラウドサービス「WildFire」を提供している。保護された領域内でプログラムを動作させて外部への影響を調べるサンドボックスによりファイルを分析し、未知のマルウェアを発見する。WildFireには全世界で5000社、2万4000台以上のエンドポイントが接続されている。

 WildFireが1日に検査するファイル数は約130万。そこから発見するマルウェアが約3万に上る。その約3万のマルウェアのうち、既存のアンチウィルスソフトでは、すり抜けられてしまうものが61%を占めるという。パロアルトのプロダクトマーケティング・ディレクターであるセバスチャン・グッドウィン氏は、「もはやエンドポイントを防御するのに、従来のアプローチでは限界がきている」と警鐘を鳴らす。

 攻撃側の巧妙さを象徴しているのが、アプリケーションの脆弱性を突く「エクスプロイト」と呼ばれる悪意あるプログラムの存在だ。エクスプロイトは、主にPDFやドキュメントファイルなど正規のアプリケーションにある脆弱性を悪用して攻撃プログラムを実行させる悪意あるプログラムである。添付ファイルなどで送られてくる悪意のある実行ファイル(.exe)と別ものだ。正規のアプリケーションに埋め込まれ、読み込まれ、処理されるだけにたちが悪く、ウイルスとして検出され難い。

 このエクスプロイトをはじめとするほとんどのマルウェアについてパロアルトは、脆弱性を突くために特定の“テクニック”が組み合わされていることに着目した。IE(インターネット・エクスプローラー)の脆弱性を突く「ヒープスプレー」や、Windowsのセキュリティ機能の1つである「DEP(データ実行防止)の回避」、OSのセキュリティ機能を回避する攻撃方法である「ROP(Return Oriented Programming)」などである。

図1:エクスプロイトのテクニック図1:エクスプロイトのテクニック
拡大画像表示

 これらのテクニックを使ってエクスプロイトは、アプリケーションの脆弱性となる隙間を縫って攻撃を仕掛けてくる(図1)。実際のマルウェアを分析してみると、使用されている核となるテクニックは、せいぜい数十種類。1つのエクスプロイトが使うテクニックは3〜5個だった。

 これらのテクニックの動きを検知し、いずれか1つでもテクニックを遮断できれば、従来のアンチウイルスソフトウェアでは防ぎ切れないマルウェアからエンドポイントを守れることになる。この仕組みを使ったのが、Trapsだ(関連記事『パロアルトネットワークス、ゼロデイ攻撃を防ぐエンドポイントセキュリティを提供開始』)。

 テクニックに目を光らせるTrapsでは、従来のアンチウィルスソフトが持つパターンファイルの更新が不要になる。核となるテクニックに新しいものが登場しない限り、パッチを当てることなく使い続けられる。導入したきりで使い続けることに、かえって不安を抱くユーザーも多いかと思われるが、グッドウィン氏は、「Trapsが未知のマルウェアによる悪意のある行動を防御できる確率は、限りなく100%に近くなる」と自信を見せている。

関連記事

巧妙になるサイバー攻撃にも共通の“テクニック”がある?!パロアルトがビッグデータから発見多くのマルウェアが日々新たに発見されている。しかし、その約6割は既存のアンチウィルスソフトでは防御できないとされる。そのため「従来型のセキュリティでは、クライアントやサーバーなどのエンドポイントを守り切れない」というのがセキュリティ業界の最近の主張だ。そうした中、セキュリティベンダーの米パロアルトネットワークスが、マルウェアを防御するための新たな手法を確立。次世代型のエンドポイント防御策となる「Traps」を開始した。どんな手法で防御するというのだろうか。

PAGE TOP