このページの本文へ

前へ 1 2 次へ

増え続けるマルウェアに対抗するシマンテック渾身の一打

SEP12で導入される「Insight」のメカニズムを探る

2011年05月10日 09時00分更新

文● 大谷イビサ 写真●曽根田元

  • この記事をはてなブックマークに追加
  • 本文印刷

企業向けセキュリティソフトの定番である「Symantec Endpoint Protection(以下、SEP)」の最新版SEP12が今夏に登場する。ここではマルウェア作者をジレンマに陥れるという新技術「Insight」の実力について見ていく。

4年ぶりのバージョンアップで目玉となる「Insight」とは?

クライアントセキュリティの定番「Symantec Endpoint Protection 11」

 2007年、企業向けアンチウイルスソフトの「Symantec AntiVirus Corporation Edition」や「Symantec Client Security」の後継として鳴り物入りで登場したのがSEP11である。SEP11は、アンチウイルスだけではなく、ファイアウォールやIPSなど複数の検知技術を統合し、最新の脅威に対抗する新世代のセキュリティソフト。外部デバイスの接続検知やネットワークアクセス制御などの先進的な機能も搭載し、クライアントセキュリティの定義を大きく変えたといえるだろう。

 今回、4年ぶりに登場するSEP12では、セキュリティ強化、パフォーマンスの向上、仮想環境の保護など3つの強化が施されている。このうち、おもにセキュリティ強化、そしてパフォーマンスの向上に大きく貢献する新技術が「Insight(インサイト)」である。

 Insightは従来から使われているウイルス検知やヒューリスティック、ビヘイビア分析などを補完する役割を持っている。シマンテック リージョナルプロダクトマーケティングマネージャー 広瀬 努氏は、「今のセキュリティの脅威に対する決定打になる」とアピールする。

シマンテック リージョナルプロダクトマーケティングマネージャー 広瀬 努氏

 Insight登場の背景には、ターゲット型攻撃の増加と亜種の大量発生という現在の脅威の動向がある。昨今のマルウェア作成者はセキュリティ製品の検出率向上を受けて、自己増殖型のウイルスを大量拡散させるという従来の戦術を大きく変えている。すなわち「攻撃する標的を絞って、数多くの亜種を作る」という戦術だ。また、ウイルス対策製品のスキャンをパスするよう、コードを変更する作業も自動化が進んでいるという。

 これに対して、アンチウイルスベンダーの提供するパターンファイルの数は加速度的に増えており、シマンテックの場合、2009年には1日約8000個の定義ファイルを作っているという。一方、1つのパターンファイルで検出できるウイルスが2000以上におよぶ場合も出てきており、パターンファイルの数がウイルス検出数と比例しなくなってきているという。「もはや亜種を追ってパターンファイルを作っていくのには、限界が生じています。セキュリティベンダーとして危機感を感じました」(広瀬氏)という状況。こうした状況に打破すべく導入されたのが、Insightというわけだ。

ウイルス定義ファイルが1日8000個できているという現状

「それをインストールしているのは世界で2人だけ」と警告

 Insightの技術を使うと、たとえば実行ファイルのインストール時に「世界で1人しかインストールしていません」、「2日前にリリースされたものです」、「デジタル署名が行なわれていません」といった警告ダイアログが出るようになる。こうしたダイアログが表示されたら、普通はインストールをためらうだろう。つまり、Insightはマルウェアかもしれないアプリケーションのインストールを実行するか、やめるかを判断する「インテリジェンス」をユーザーに提供するわけだ。

Insightではアプリケーションの評価情報がユーザーに提供される

 これを実現するために、Insightではアプリケーションの「レア度」を統計によって明らかにする。通常は難しいが、1億7000万超という広範なインストールベースを持つNortonを擁するシマンテックであれば、この統計情報の収集が可能だ。Nortonがスキャンしたファイルから、ソース、署名者、ファイル名、パスなどを収集すればよい。これにより、シマンテックではある実行ファイルについての統計が出せる。「特定のアプリケーションがどれくらい使われているか統計をとり、利用者数が少ないモノには低い評価を与えます」(広瀬氏)という。つまり、Insightの中身はアプリケーションのレピュテーション(評価)というわけだ。

 これにより、ウイルス作者はある種のジレンマに陥るという。「ウイルスの作者は数多くのユーザーに導入してもらいたいが、Insightのような技術を使うと、利用者数が少ないものはかえって目立ってしまいます」(広瀬氏)。同じウイルスを大量拡散させる攻撃に対応していた従来と逆で、目立たず、検出されにくいターゲット型攻撃に有効で、検知精度を大きく向上させるという。

Insightでは利用者が少なく、登場期間が短いものがきわめて目立つ

 Insightの利用設定には、シマンテック信頼とコミュニティ信頼、シマンテック信頼、無効という3つの設定があるという。シマンテック信頼とコミュニティ信頼は、それぞれ判別の手法が異なる。

(次ページ、Insightを活用したダウンロードインサイト)


 

前へ 1 2 次へ

ピックアップ