「次世代エンドポイントセキュリティ」は今までのウイルス対策と何が違うのか：「エンドポイントセキュリティ」再浮上のなぜ【第2回】（1/3 ページ）

巧妙化する攻撃を前に限界を迎えたエンドポイントセキュリティ。その課題を乗り越えるべく登場し始めた「次世代エンドポイントセキュリティ」は、今までとどう違うのか。

[阿部淳平, 尾山和宏，ネットワンシステムズ]

　連載第1回「枯れたはずの『エンドポイントセキュリティ』が再び“熱い技術”になった2つの理由」では、サーバやクライアントPCといったエンドポイントを保護する「エンドポイントセキュリティ」へのニーズが高まりつつあることを紹介した。具体的には「高度なサイバー攻撃への対処」と「インシデントレスポンスへの活用」へのニーズを背景に、再びエンドポイントセキュリティに焦点が当たっていると説明した。

　第2回である今回は「高度なサイバー攻撃への対処」に焦点を当てて、エンドポイントセキュリティの現状を解説する。

併せて読みたいお勧め記事

「エンドポイントセキュリティ」再浮上のなぜ

• 枯れたはずの「エンドポイントセキュリティ」が再び“熱い技術”になった2つの理由

変化するセキュリティの“常識”

• 「セキュリティ予算の7割がウイルス対策とファイアウォール」は時代遅れなのか？
• “3大セキュリティベンダー”はもはや「リーダー」ではない――Gartnerが辛口評価

2020年のエンドポイントセキュリティとは

• スマートフォンやクラウドの普及がエンドポイントセキュリティを変える
• レピュテーションに仮想化対応――マルウェア検出技術の今を知る

血眼になって「マルウェア感染」に導く攻撃者

　「彼を知り己を知れば百戦殆からず」とことわざにあるように、高度なサイバー攻撃への対処方法を考えるには、攻撃の実態を知るのが近道だ。そこで本題に入る前に、攻撃者の立場に立って、どうやって攻撃を成功させるかを考えていこう。

　攻撃者において第1の攻撃の成功は、エンドポイントを意のままに操る悪意のあるソフトウェア、すなわち「マルウェア」をインストールすることである。マルウェアを標的となるエンドポイントにインストール（感染）できれば、その後は感染拡大や機密情報の取得というように第2、第3の攻撃へとつなげることができる。そのため攻撃者にとっては、マルウェア感染が最も重要な目的の1つであり、最優先事項となる。

　しかしながら、標的となるエンドポイントにマルウェアを感染させるのは簡単なことではない。エンドユーザーは怪しいソフトウェアをわざわざインストールしようとは思わないし、大半の企業はエンドポイントにウイルス対策ソフトウェアをはじめとする何かしらのセキュリティ対策を施しているからだ。

　そこで攻撃者は、何とかしてエンドユーザーにマルウェアを実行させようと知恵を絞る。例えばアイコンを偽装してオフィススイート「Microsoft Office」形式のファイルやPDFファイルといったドキュメントファイルに見せかけたり、ドキュメントファイルにスクリプトやマクロといった簡易プログラムを埋め込んだりしてマルウェアをインストールさせる。2015年6月に発覚した日本年金機構の情報漏えい事件では、EXEファイルをドキュメントファイルに偽装して、エンドユーザーが誤って実行しやすくなるよう工夫していた。

　攻撃者が頻繁に悪用するのは、「Adobe Flash Player」「Adobe Reader」「Java Runtime Environment」といった定番のコンテンツ実行ソフトウェアに潜む、任意のプログラムを勝手に実行できてしまう脆弱（ぜいじゃく）性だ。この脆弱性を悪用する攻撃コード（エクスプロイト）を含んだコンテンツをエンドユーザーが実行してしまうと、エンドユーザーの知らないうちにマルウェアの感染が成功する。

　最近では、Webサイト訪問者の同意を得ずにマルウェアをダウンロード、インストールする「ドライブバイダウンロード攻撃」に、こうした脆弱性を悪用する例が目立つ。攻撃者はメールやソーシャルネットワーキングサービス（SNS）を使い、エクスプロイトを含むコンテンツを埋め込んだWebページのリンクを紹介。エンドユーザーがそのリンクをクリックするとマルウェアに感染してしまう。また攻撃者が正規のWebサイトを改ざんしてエクスプロイトを含むコンテンツを埋め込めば、そのWebサイトを訪れたエンドユーザーがマルウェア感染のリスクを負うことになる。

　上記は一例ではあるが、攻撃者はあらゆる手段を講じてマルウェアに感染するようエンドユーザーを導いてくる。守る側もエンドポイントセキュリティを強化して対峙していく必要があるわけだ。