セキュリティを重視したいとはいえ、危険「かもしれない」ファイルを片っ端からブロックしては企業活動に影響が出る。WildFireは、シグネチャで判別できない不明ファイルの検査を可能にする。
マルウェアからの保護とクラウド技術
ここまでで見てきた通り、進化するモダンマルウェアに対処するには、従来のセキュリティ対策では不充分で危険であり、次世代のファイアウォールを中心とした先進的な対策が必要になっている。モダンマルウェア、とくにボットとボットネットは、自分自身のシグネチャを自由に変えることで、従来のシグネチャをもとにしたセキュリティ対策をかいくぐってしまう。シグネチャによる「静的な」検出は、在来型のマルウェアには有効だが、モダンマルウェアには効果がないことが多々あるのが現実だ。
クラウド上のサンドボックスでの検出
サンドボックスとは、コンピュータやネットワーク、あるいはクラウド上に設けられた、仮想のOS空間のことである。
サンドボックスはアプリケーションにOS環境を提供し、その上で動くアプリケーションは、実環境で動いている他のアプリケーションやOS自体に影響を与えることなく、その一挙手一投足をくわしく調べることができる。サンドボックス上で不審な動作、たとえば外部との不自然な通信、アンチウイルスプログラムからの隠蔽、自身のシグネチャの書き換えなどを行ったプログラムは、マルウェアの疑いがあると判断して、ブロックすることができる。また、書き換えられたシグネチャをもとに、実環境上に同じマルウェアがすでに潜んでいないかどうかを検索することも可能だ。
Palo Alto Networks社が販売する次世代ファイアウォール製品「PAシリーズ」には、このようなサンドボックスによるマルウェア検出とブロックを行う「WildFire」という技術が採用されている。WildFireでは、サンドボックスによる既知または未知のマルウェアの検出を、クラウド上で行うようになっている(図1)。
クラウド上で検査を行う利点は、ネットワークやホストマシンのスループットを損なうことなく不審なソフトウェアの検査ができることに加え、Palo Alto Networks社の最新のシグネチャデータベースを全世界のユーザーと共有できる点にある。
同社が以前行った実証実験によれば、ファイアウォールが「正体不明」と認識しサンドボックスに送った3万5000ほどのファイルのうち、7パーセントがマルウェアであることが判明したという。しかも、そのうちの57パーセントは発見当時、既存のどのアンチウイルスベンダーも検出不能だったという。どこにもワクチンがない状態での攻撃、いわゆる未知のマルウェアに対してWildFireが有効であることを示す結果である。
WildFireは未知のモダンマルウェアを検出するとともに、そのマルウェアがどう活動するか、誰を目標としているのか、その脅威を運ぶアプリケーションや経路は何かなど、モダンマルウェアについて分析した情報をユーザーに正確に提供する。これらの情報は、ファイアウォールにただちに反映され、未知のモダンマルウェア検出からユーザーの保護までにかかる時間を短縮している。
最新のテクノロジで標的型マルウェア対策を
前述したように、標的型のモダンマルウェアはネットワークに無差別に攻撃したり潜伏したりするのではなく、目標とするコンピュータやネットワークを特定して攻撃を行う。そのため、標的型モダンマルウェアはインターネット上に大量に存在するのではなく、ネットワークの周囲の限られた範囲に置かれ、侵入する機会をうかがう。
このようなマルウェアは既存のアンチウイルスソリューションでは検出できず、本書で記述したようなさまざまな対策を施したとしても、ユーザーやIT部門のミスによって侵入を許してしまうことがある。このような場合、WildFireのようなテクノロジを活用すれば、不審な活動をするモダンマルウェアを水際で検出し、侵入を食い止めることができる。WildFireの利用で、IT部門の負担を軽減すると同時に、ユーザーやネットワークの保護が強化される。
この連載の記事
-
第5回
TECH
モダンマルウェア対策の基本方針とは? -
第4回
TECH
次世代ファイアウォールはどのようにマルウェアを撃破する? -
第3回
TECH
なぜ従来型のセキュリティ手法ではだめなのか? -
第2回
TECH
ボット、ボットネット、ボットハーダーについて知る -
第1回
TECH
セキュリティにおける最新の脅威とは? -
TECH
モダンマルウェアの脅威と対策 - この連載の一覧へ