巧妙化する標的型攻撃に対し、パターンファイルによる従来型のマルウェア検知が限界を迎えている。そこで注目されているのがコード実行型攻撃を防御する技術だ。新種のマルウェアやゼロデイ脆弱性にも対応できる。
今日の企業ITは、かつてないほどの深刻な脅威にさらされている。2011年秋ごろから、防衛関連企業やセキュリティ企業などが標的型のサイバー攻撃を受け、内部情報が漏えいしたというニュースが相次いで報じられた。多くの方は、「新手のマルウェアが登場したのかな?」という程度にしか受け止めていないかもしれないが、実態ははるかに深刻だ。
マルウェアは今や、誰もが手軽に開発できてしまうのだ。闇マーケットで流通している多機能マルウェア作成キットを使えば、特に高度なスキルがなくとも簡単にマルウェアを作成することができる。その結果、今日では1日当たり平均で約6万種類(約1.5秒間で1種類!)もの新種のマルウェアが生み出される事態となってしまった。
「いや、うちはアンチウイルスソフトを導入しているから大丈夫だ」
このように考えているIT管理者も、まだまだ多いかもしれない。しかし残念ながら、これだけのハイペースで新種のマルウェアが発生する事態に、アンチウイルスソフトは十分にキャッチアップできていないのが実情だ。生み出されたばかりのマルウェアの初期検知率は、大手セキュリティベンダーのアンチウイルス製品でもせいぜい20〜30%程度だといわれている。
「OSのセキュリティパッチの適用を徹底すれば問題ないだろう」
こう考える方も多いだろうが、今やマルウェアがターゲットにするのは、Windowsの脆弱性だけではない。マイクロソフトやアドビ システムズが提供する代表的なドキュメント系アプリケーションはもちろんのこと、国産アプリケーションや圧縮ソフトに至るまで、ありとあらゆるプログラムの脆弱性が狙われている。それら全てに対して常に最新のパッチの適用を徹底するのは、現実的には極めて困難だ。
そもそも、公表される前の脆弱性(ゼロデイ脆弱性と呼ばれる)を利用した攻撃では、修正パッチがまだ提供されていないため、ユーザー側がアンチウイルスソフトのパターンファイルの更新やセキュリティパッチの適用にいくら気を配っていても、完全に防ぐことはできない。また、近年多く見られる「標的型攻撃」、つまり特定の組織を標的にしたピンポイントの攻撃に関しても、セキュリティベンダー側ですぐに検体を入手し、利用されている脆弱性を防御する対策を提供することは難しく、どうしても対策が後手に回ってしまうことが多い。
ちなみに、「標的型攻撃は大企業や官公庁を狙うもの」という思い込みから、対策に気を配っていない中堅・中小企業も少なくないようだ。しかし実際には、大企業・官公庁の取引先企業への侵入を足掛かりにして攻撃を仕掛けるタイプのマルウェアが後を絶たない。つまり、中堅・中小規模の企業であっても、いつ標的型攻撃のターゲットとなり、取引先への攻撃の足掛かりにされるか分からないのだ。
もちろん、こうした高度な攻撃への対策が全くないわけではない。最近では、ネットワークを監視し、マルウェアが感染後に外部と通信するタイミングで検知する方法、いわゆる「出口対策」のソリューションが数多く提供されている。しかし言うまでもなく、この出口対策はマルウェアに侵入を許した後の対策であり、感染そのものを防ぐものではない。マルウェア感染そのものを防ぐ対策も重要であることに変わりないが、先に述べた通り、パターンファイルに依存した従来型のマルウェア対策は既に限界を迎えつつある。
そこで近年注目を集めているのが、パターンファイル方式に換わる新たな手段を使ったマルウェア検知技術だ。ソリトンシステムズが2012年2月1日にリリースしたマルウェア対策ソフトウェア「Zerona」(ゼロナ)は、その中でも特に先進的な技術を搭載した製品である。従来のパターンファイル方式ではカバーできなかったゼロデイ攻撃や標的型攻撃も、最先端のマルウェア検知技術によりクライアントPC上で検知・ブロックできる。
Zeronaの機能は、同製品に搭載された4つのマルウェア対策エンジンによって実現される。その1つが、「ZDP」と呼ばれるエンジンだ。ZDPの役割は、いわゆる「コード実行型」と呼ばれる攻撃からPCを保護することにある。コード実行型は、プログラムの脆弱性を利用して攻撃コードを不正実行するタイプの攻撃で、昨今の標的型攻撃の取っ掛かりであるマルウェア感染に利用される手口だ。文書ファイルでのマルウェア感染や、Web経由でのマルウェア感染なども、基本的にはコード実行型がほとんどであると考えてよい。
Zeronaは独自技術によって、攻撃コードの実行を検知・ブロックする。具体的には、メインプログラムからサブプログラムが呼び出される動作(システムコールなど)を監視し、メモリレイアウトなどをチェックすることで攻撃コードの実行を検知・ブロックする。つまり、どのような種類のコード実行型攻撃にも共通する挙動を、その根元で検知するわけだ。この方法であれば、たとえ未知のマルウェアやゼロデイ脆弱性を利用した標的型攻撃であっても、攻撃コード実行のタイミングでほぼ確実に検知・ブロックできる。
ちなみに、ごく単純なコード実行型攻撃に対する防御は、今日では既にWindowsや多くのセキュリティ製品に実装されている。しかし、近年のマルウェアは、「Return-into-libc」や「ROP」などの手法でこうした防御策を巧みに回避する機能を備えている。従来の技術ではこうした巧妙なコード実行型攻撃を検知するのは極めて困難な状況だが、Zeronaは独自技術を駆使してこれらの高度な攻撃コードの実行も漏れなく検知・ブロックできるよう設計されている。
ZeronaはZDPの他に、3つのマルウェア対策エンジンを持つ。その1つ「Static」は、ファイルの静的分析によりマルウェアを検出する機能を持つ。Staticは、クライアントPCに新たなファイルがコピーされる際、そのファイル構造を解析して、マルウェア特有の特徴を有していないかどうかを判別する。つまり、攻撃が実行される前にマルウェアを検知する役割を担っている。
Staticの分析処理はさまざまな角度から行われ、それぞれの分析ロジックではじき出されたポイントを合算することで、最終的にそのファイルがマルウェアであるか否かを判断する。こうした点数方式の判定により、無害なファイルをマルウェアだと誤検知する確率を最小限に抑えている。
このStaticの静的分析だけで、全てのファイルを「白か黒か」はっきり判定できない巧妙なマルウェアも存在する。そうしたファイルに関しては、次のエンジン「Sandbox」でふるいに掛ける。
Sandboxはその名の通り、クライアントPC上に構築したサンドボックス環境、つまり外部に影響を及ぼすことがない独立・閉鎖した仮想実行環境の中で疑わしいファイルを実行し、最終的にマルウェアであるか否かを判断する。近年のマルウェアは、自身がサンドボックス内で動作していることを検知すると、その振る舞いを止める機能を持つものまで存在するが、Sandboxはそうしたさまざまなサンドボックス回避手法にも対応している。
さらには、StaticとSandboxの厳重なチェックをすり抜けるものがあることも想定している。「HIPS」という第4のエンジンは、常時PC上の全てのプロセスの動作を監視しており、もし他プロセスへの侵入や異常ネットワークアクセス、キーロガーやバックドアのような動作を示すプロセスがあれば、即時検知し、プロセスを停止させることが可能である。
このように、ZeronaではZDP、Static、Sandbox、HIPSという4つの独立したエンジンが、それぞれの方式で厳重にチェックを施し、確実にマルウェアを検知・ブロックする仕組みを備えている。言ってみれば、単一製品の中で幾重にも渡る多層防御を実行しているのである。また、管理対象PCで動作するそれぞれのエンジンの検知・防御状態は、サーバ上に置かれた「ZMC(Zerona Management Console)」という管理コンソールで一元的に管理できるようになっている。
Zeronaの提供形態には、ZDPエンジンのみを提供する「Zerona Z1」と、4つのエンジン全てを提供する「Zerona Z4」の2種類がある。既に他のアンチウイルス製品を導入済みの企業であれば、まずはZerona Z1でコード実行型攻撃防御機能(ZDP)だけを手軽に補完できる。より万全を期したい企業にとってはZerona Z4が適しているだろう。
Zeronaの特長の1つは、既に導入されているアプリケーションに影響を及ぼすことなく、アドオン的に導入できる点だ。アンチウイルス製品を新規導入する際には、往々にして、既に導入済みの製品との共存が問題となる。場合によっては、各クライアントPC上で導入済み製品をアンインストールし、クリーンな状態に戻さなくてはいけないこともある。IT管理者の立場から見ると、これは大変な手間である。
その点、Zeronaは他のアンチウイルス製品などと共存できるよう設計されている。既に他社製のアンチウイルスソフトが導入されている環境であっても、その弱点を補完するためのアドオンのようなイメージで手軽に導入できるのである。
また導入後の運用も、一般的なアンチウイルス製品と比べればかなり楽になる。アンチウイルス製品には付き物のパターンファイル更新が発生しないため、管理者がいちいち更新状態をチェックして回る必要はなく、またユーザーにとってもパターンファイル更新でPCに掛かる負荷がなくなるため、デスクトップ環境の生産性が大幅に向上するはずだ。これまで長年にわたり、クライアントPCのセキュリティ製品を手掛けてきたソリトンシステムズは今後、エンタープライズでの利用における運用・管理機能を強化していくという。
なお、Zeronaのライセンスは買い取り方式ではなく、1年間の利用料金を先払いするサブスクリプション方式をとっている。その価格は、Zerona Z1がクライアントPC1台当たり年額5000円、Zerona Z4が1万円となり、ボリュームライセンスによる割引制度が用意されている。
Zeronaの詳細については、こちらのホワイトペーパーをご覧ください。
コード実行型攻撃の検知・防御を始め、マルウェアの振る舞いや特徴を基にウイルスを検出する「Zerona(ゼロナ)」が、「ゼロデイ脆弱性(まだ一般に公表されておらず、パッチも提供されていない脆弱性)」の防御にも効果を発揮できるのはなぜか?
提供:株式会社ソリトンシステムズ
アイティメディア営業企画/制作:TechTarget編集部/掲載内容有効期限:2012年3月31日
ITmediaはアイティメディア株式会社の登録商標です。
従来型ウイルス対策の課題
4層構造の検知エンジン