リスクマネジメント リスクマネジメント記事一覧へ

[新製品・サービス]

標的型攻撃にも完全対応、マルウェアを実行して駆除する「Bromium」とは

2016年8月10日(水)田口 潤(IT Leaders編集部)

オープンソースの仮想化ソフト「Xen」をベースにした「MicroVM」と呼ぶ空間で安全性が未確認のファイルを実行し、標的型攻撃に対処できるようにする−−。そんなアンチウィルスソフトが登場した。いったいどんなソフトウェアなのか。

 クライアントPCのセキュリティ対策と言えば、アンチウィルスソフトが今も定番であり、そのインストールやアップデートは必須だ。しかし既知のウィルスは駆除できるにしても、新種や亜種など未知のウィルスには対処できず、検知や駆除率は年々低下しているとされる。挙動からウィルスであることを判断するヒューリスティックスキャンも、新種や亜種を検知できるにせよ確実ではないし、誤検知もあり得る。

 何よりも巧妙になる一方の標的型攻撃や水飲み場攻撃などを考えると、守り切ることは非常に難しい。「メール添付のファイルはクリックしてはならない」などと社員に注意喚起したところで、例えば宅配便の到着を装ったりファイル名を偽装したりされると、ついクリックしてしまうことは十分に起こり得る(関連記事)。

 そんな中で、仮にマルウェアを起動してしまっても安全に検出、駆除できるツールが登場した。ブロード(千代田区)が代理店契約を結んだ米Bromiumの「Bromium Advanced Endpoint Security(AES)」である。動作原理はシンプルで、「MicroVM」という仮想環境を用意して安全性が未確認のファイルは必ずMicroVMで開いたり実行したりするというもの。本番環境とは別の仮想環境での操作なので、仮にマルウェアであっても本番環境には影響を及ぼさない。

図1:安全が確認されているファイル(右)に対し、未確認のファイルには「Br」というマークを付加する図1:安全が確認されているファイル(右)に対し、未確認のファイルには「Br」というマークを付加する
拡大画像表示

 具体的には、Bromium AESをインストールすると、Windowsの本番環境とは別にMicroVMを起動できるようになる。加えて、WebサイトやUSBメモリーなどから新たにPCに取り込むファイルのアイコンに「Br」という識別マークが自動的に付く(図1)。利用者がBrマークがついたファイルをクリックすると、必ずMicroVMが起動し、そこでファイルを操作する仕組みだ。

 とはいっても、画面上はアプリケーションウィンドウの上部に「SecureView〜」というメッセージが出るくらい(図2)。利用者には何ら違和感のない画面であり、必要ならMicroVMで動作しているアプリケーションを一覧できる。

図2:安全が確認されていない文書を開いた時の画面。ウィンドウ上部にメッセージが表示される。右はMicroVMで動作しているアプリケーションの一覧図2:安全が確認されていない文書を開いた時の画面。ウィンドウ上部にメッセージが表示される。右はMicroVMで動作しているアプリケーションの一覧
拡大画像表示

 これにより開いたファイルがマルウェアだったとしても、MicroVM環境で動くので、本来のWindows環境には影響を及ぼさない。実際に動作させて挙動を把握しながら、検出したり駆除したりできるのだ。

関連記事

標的型攻撃にも完全対応、マルウェアを実行して駆除する「Bromium」とはオープンソースの仮想化ソフト「Xen」をベースにした「MicroVM」と呼ぶ空間で安全性が未確認のファイルを実行し、標的型攻撃に対処できるようにする−−。そんなアンチウィルスソフトが登場した。いったいどんなソフトウェアなのか。

PAGE TOP