※本ブログは、マカフィー社 エグゼクティブバイスプレジデント 兼 CTOのマイケル・フェイによるものです。
高度なマルウェアこそ、サイバースペースで最も破壊的となる可能性の高い、最新の脅威です。このような脅威は密かにやってくるものであり、非常に忍耐強く特定の標的を狙っています。高度なマルウェアは、多くの場合、簡単に検知可能なシグネチャが付与された既知のマルウェアを基に作成されますが、典型的なパターン認識による防御システムを回避するようカスタマイズされています。その上、通常は特定の標的を狙い、ネットワーク上の足跡をさらに小さくしています。最後に、目的を達成するまで忍耐強く活動するので、痕跡を追跡するのは困難です。こうした諸々の理由により、マルウェアを発見、駆除されるまでに長い期間にわたり脅威をもたらす危険性があります。発見されずにいる間に悪事を働き、システムと組織に多大な損害をもたらすのです。
高度なマルウェアには独特な特徴があるため、セキュリティネットワークソリューションを開発する際に採用されてきた従来の仮説の多くは、もはや完全に通用しないものとなりました。シグネチャベースの手法は、全般的ソリューションには引き続き必要であり、既知のマルウェア検知に対しては非常に効果的であり正確です。ただし、これだけでは、組織を完璧に防御するにはもはや不十分で、これらの防御システムをくぐり抜けてしまうことから代替手法が必要となります。
このような脅威に対処する最も一般的な方法の1つとして、「サンドボックス」と言われているビヘイビア(ふるまい)ベースの解析技術が挙げられます。
サンドボックスとは、本物のエンドポイントであるかのように装った、隔離された仮想環境のことです。サンドボックスでは、疑わしいファイルがあたかも標的としていたエンドポイントに到達したと勘違いして実行され、その間に、内蔵されたセンサーがファイルの行動を監視します。ファイルが実際に悪質なものであっても、隔離された仮想環境では実害を及ぼすことはありません。ですから、サンドボックスは、疑わしいファイルをテストする比較的安全な環境になるのです。さらに、ファイルを分析する前にファイル関連情報を入手する必要がないため、つまりシグネチャが不要のため、サンドボックスはマルウェア検知の初歩としては素晴らしい手法です。
もちろんサンドボックス手法によっては限界があり、その機能が、高度化した脅威の検知に限定されている場合があります。例えば、多くのサンドボックス技術は、お客様の実際の運用環境に基づいた実イメージではなく、市販の特定OSで稼働します。したがって、疑わしいファイルの行動について、間違った仮説を立ててしまう可能性があります。
それでもなお、このビヘイビアベースの手法は、多数の脅威を特定する有効な方法であり、この技術に関して市場は大きな盛り上がりを見せています。しかし、この熱気こそが、「高度なマルウェアの最大の課題はそれを検知することである」、という良く知られた神話を生み出しているのです。
確かに、マルウェアの検知は大切ですが、本当の課題は、それらを食い止め、あらゆる損害を修復しなければならないことです。サンドボックス技術は、自身が検知したマルウェアをブロックして損害を修復するツールによって補完されなくてはなりません。これらの追加機能なくしては、セキュリティ業界は問題の一部にしか対処していないことになり、大半の(面倒な、手作業による)業務をお客様任せにしているのです。
サンドボックスは機能であり、製品ではありません。そして高度なマルウェア検知は1つの段階に過ぎず、解決策ではありません。サンドボックス機能だけが付いた製品を購入しても課題は解決しません。実際、短期的に考えると、セキュリティチームの仕事を増やすだけなのです。課題はもっと困難で、しかも複雑化しています。
本当の解決に至るには、サンドボックスを他のセキュリティ技術や製品と深く統合する必要があります。他のセキュリティ製品と統合して初めて、マルウェアを食い止め、損害が修復可能となるのです。サンドボックスは脅威を検知するだけです。シグネチャベースのソリューションには、攻撃をブロックし、損害を受けるのを阻止する機能が既に備えられているため、このリアルタイム機能によって、標的ポイントが感染してしまうのを確実に防ぎます。このように、従来型ソリューションでは通常、高度なマルウェアの検知は不可能ですが、防御という点では機能しています。サンドボックス導入の課題は、トータルソリューションの必須要素であるブロッキングと修復が忘れ去られることであり、この2つも同時に実現することは、統合によってのみ可能です。
高度なマルウェアは検知できるのです。
第2話につづく
マカフィーでは、今日のサイバー攻撃に対抗するため、企業様向けに様々なセミナーを開催しております。
<最新のセミナー情報>
- 標的型攻撃に対抗するマカフィーの包括的なマルウェア対策のご紹介
東京開催: 2月5日(水) - 組織的なセキュリティ体制構築の実現、次世代SIEMによる状況認識の確立
東京開催: 2月5日(水)
関連記事
- [2014/02/27] 高度なマルウェアに関する神話 第7話―『”階層化”は最大の防御である』
- [2014/02/13] 高度なマルウェアに関する神話 第6話―『高度なマルウェアを検出すれば脅威を阻止できる』
- [2014/01/29] 高度なマルウェアに関する神話 第5話: 『エンドポイントの保護は効力がない』
- [2014/01/16] 高度なマルウェアに関する神話 第4話: 『サンドボックスはすべてを検知する』
- [2013/12/27] 高度なマルウェアに関する神話 第3話: 『どのベンダーでも同じである』
- [2013/12/02] 高度なマルウェアに関する神話 第2話: 『サンドボックスがあればマルウェアはブロックできる』
※本ページの内容はMcAfee Blogの抄訳です。
原文:Myths of Advanced Malware – Myth #1: The Challenge is that I Cannot Identify Advanced Malware
