※本記事は、エンタープライズSE CISSP エンジニア 桐谷彰一によるものです。
オンラインの脅威は、常に高度化・複雑化を続けており、従来のパターンマッチング方式によるセキュリティ対策では、この進化した脅威に対抗していくことが徐々に難しくなっています。中でもゼロデイ攻撃やOperation Aurora(オペレーション オーロラ)型攻撃など、対応するシグネチャがない未知の脅威の発生割合が増加しており、企業はより迅速な対応を求められるようになっています。このような脅威の解決策として、レピュテーション技術が、現在最も注目されています。この技術を搭載することにより、PCが悪意のあるコードに攻撃された際、アクティブかつリアルタイムな保護を実現することが可能になります。今回は、このレピュテーション技術の動向について解説します。
レピュテーション技術とは
レピュテーションとは、”評判”という意味で、悪い評判を持ったものに対して、何かしらの対応を行う技術です。コンテンツの中身を直接確認する前に、そのもの自体の評判を確認することで、効率よくセキュリティチェックを行うことができるようになります。
通信を行う際には通信先の評判、また操作を行う際にはその対象の評判など、評判の対象は様々ですが、代表的な例として、迷惑メールのレピュテーション手法を紹介します。
- 社外からメールが送られてきた際に、メール送信者の”評判”を確認
- “評判の悪い送信者”からのメールは受信拒否や、受信処理を遅延させる
- メールのコンテンツに対してウイルスチェックを実施
このように、迷惑メールの受信を可能な限り削減することにより、内容の疑わしいメールの確認に、機器リソースを割り当てることができるようになります。
また、レピュテーション技術のメリットとして、「クラウド技術によるリアルタイムの確認」というものがあります。
ファイルのレピュテーションを例にご紹介します。
- ウイルス定義ファイルでは検出できないが、動作が怪しいファイルを発見
- そのファイルの安全性について評判を確認
- 問題があれば実行をブロック
このように、インターネット経由でリアルタイムに確認することにより、ウイルス定義ファイルが最新ではないPCも、最新の評価情報でチェックを行うことができます。1日5万を超えるマルウェアが発生する現在、最新情報で確認することが可能なこの技術は、ウイルス対策では必須の技術といえるでしょう。
レピュテーション技術を支える仕組み
最新の脅威に対応するためには、”評判”を蓄積するデータベースの「量」と「質」が、非常に重要なポイントとなります。ここでは、どのようにデータを集めているかの例を紹介します。
まずマカフィーでは、インターネットの通信を監視することで、データベースの情報量や精度を上げる取り組みを行っています。下のグラフはマカフィーのレピュテーション技術のデータベースに蓄積された、あるドメインから送信されたメールの統計情報です。
青いグラフはメールの送信量を示しており、2008年1月22日前後から、大量にメール送信が行われていることが分かります。急激にメールが増えたことから、スパマーによるドメイン取得、メール送信の可能性が高いと判断し、”悪い”評判が与えられました。なおこの評価の結果、マカフィー製品では、このドメインからのメールは迷惑メールの可能性が高いものとして処理を行っています
またマカフィーでは、ウイルス解析の結果判明する情報も、レピュテーションとして利用されています。年初に、Webページを改ざんするマルウェア、Gumblar(ガンブラー)が話題になりましたが、次の表は、Gumblarに感染したパソコンが通信を行うIPアドレスと、当時のレピュテーションの情報です。
解析の結果判明したBotネットのIPアドレスは”評判の悪いIPアドレス”として登録され、レピュテーション技術を支える情報として利用されています。実際に、”評判の悪いIPアドレス”に接続している通信をブロックしアラートする、ファイアウォールもこの情報を利用しており、社内の感染PCを容易に発見します。
まとめ
このように「クラウド型のセキュリティ技術」である、レピュテーション技術は、日々進化する脅威に迅速に対応するために、必要不可欠な技術といえます。また、レピュテーションの対象は、メール送信者、IPアドレス、Webサイト、ドメイン、ファイル、ドメインなど様々ですが、脅威の進化とともに、その領域は今後も広がっていくことでしょう。
