パロアルトネットワークスは1月15日、同社の次世代ファイアウォール(NGFW)向けOSの最新版「PAN-OS 6.0」の提供を開始した。マルウェア検知のためのクラウド型サンドボックス「WildFire」の検査対象を強化したほか、DNS通信の監視による脅威防御機能などを追加している。
PAN-OS 6.0はNGFW「PAシリーズ」向けOSの最新版で、同社とサポート契約しているすべての顧客に提供される。
PAシリーズでは、未知の不審なファイルを外部クラウド上のサンドボックスで実行し、100以上の振る舞いを検査することでマルウェアを検出するクラウドサービス「WildFire」を提供している。PAN-OS 6.0では、その機能が大幅に強化されている。
クラウド型サンドボックスサービス「WildFire」の基本的な仕組み
まず、WildFireで検査する対象が拡大された。具体的には、従来のEXEファイルやDLLファイルに加えて、PDF、Officeドキュメント(DOCなど)、Java、APK(Androidのアプリファイル)も検査対象となった。さらに、これまでサンドボックスで実行するOSはWindows XPのみだったが、新たにWindows 7、Androidも追加されている。
検査対象ファイルの拡大についてパロアルトネットワークス 技術本部長の乙部幸一朗氏は、従来のEXE、DLLファイル検査は「マルウェア本体の検知」を主眼としていたのに対し、PDFやDOC、Javaなどのファイル検査は、PCにそのマルウェア本体をダウンロードさせる役割を持つ「ドロッパー」を検知することに主眼があると説明。ドロッパーの段階で侵入を防ぎ、攻撃をより早い段階で防ぐとした。
また、これまで有償機能だった分析レポートも、基本的な内容(送信したファイルのマルウェア判定結果)は無償で参照できるようになっている。そのほか分析レポートでは、時系列でのレポート、検出されたマルウェア検体やトラフィックデータ(PCAP)の提供、脅威痕跡収集製品(IOC)との連携機能などが追加されている。
PAN-OS 6.0におけるWildFireの機能強化点
拡張された機能の一部はサブスクリプションの購入が必要
PAN-OS 6.0では、新たな脅威防御の機能として「パッシブDNSモニタリング」および「ローカルDNSシンクホール」も追加された。これはパロアルトが収集、提供する「悪意のあるサイトのDNSデータベース」の情報に基づき、マルウェアサイトやボットネットの指令サーバー(C&Cサーバー、C2サーバー)への通信をブロックするとともに、その通信元PCを特定するための機能となる。
悪意のあるサイトのDNS情報をデータベース化、シグネチャとして配布することで、そうした通信をブロックする
PAシリーズが提供する脅威防御機能の一覧。PAN-OS 6.0では、水色の背景の領域で機能が追加/強化された
