バルナラビリティ?エクスプロイト??ボットネット???

名前を聞いただけではわからないESET謎機能の正体

文●宮里圭介 編集●ASCII

提供: キヤノンマーケティングジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

脆弱性型攻撃対策を担う2つの機能

 「バルナラビリティシールド」は、その名前の通り「Vulnerability」……つまり、脆弱性を狙った攻撃を検知する機能。通信を監視し、ネットワーク経由で行われるセキュリティホールを狙った攻撃をブロックしてくれるものだ。

ネットワーク経由で脆弱性を狙う攻撃が行われた場合に、その通信をブロック。攻撃そのものを未然に防いでくれる。

 OSがもつサービスはもちろんのこと、JavaやFlash、ブラウザーといったアプリケーションまでもが攻撃の対象となる。もし脆弱性があるのに放置しておくと、容易に侵入されてしまうわけだ。

 その一例を紹介しよう。

 比較的メジャーで影響が大きいものに、「Windows Server Message Block (SMB) v1」の脆弱性がある。これはWindowsのファイル共有やプリンター共有で使用されるものだが、特別に細工されたメッセージを送ることで、任意のコードが実行できてしまうというものだ。これはランサムウェアや、仮想通貨の採掘ツールなどを送り込むことに悪用されている。

 もちろん、マイクロソフトが無策のままいるわけもなく、すでに2017年3月の段階でセキュリティ更新プログラムを配布しており、これを適用している人であれば被害に遭わないはずだ。

 にもかかわらず、この攻撃数は月日が経つにつれて増えてきており、今ではランサムウェアの大規模感染が起こった2年前以上の数になっているという。

マルウェアなどで使われる、脆弱性攻撃ツールEternalBlueを悪用した攻撃の検出数。①でランサムウェアの大規模感染が起こったときに爆発的に増えた後は激減したが②、その後、再び増加③。2019年に入ってからも増加を続けている④。

マルウェア情報局「2019年5月 マルウェアレポート」より

 もちろんこれはあくまで攻撃数であって、実際に被害に遭っている数ではない。とはいえこれだけ攻撃数が多いということは、セキュリティ更新プログラムが適用されていないことが多く、狙いやすい脆弱性となっていると考える方が自然だろう。

 こういった脆弱性が残されたままという危険な状態から、少しでも安全になるよう守ってくれるのがESETの「バルナラビリティシールド」だ。

 もうひとつ、脆弱性型攻撃対策として用意されているのが「エクスプロイトブロッカー」だ。これは、例えばメールに添付されたファイルを開く、ウェブページを開く、PDFファイルを開くといった動作時に、任意のコードを実行されてしまうという脆弱性の悪用を防いでくれるものだ。

動作中のアプリケーションを監視し、脆弱性をつく攻撃をブロックしてくれるのが「エクスプロイトブロッカー」だ。

 取引先からの書類を装ってメールに添付されていたり、プログラムの更新だと偽ってファイルをダウンロードさせるなど、その手段は幅広い。ファイルを開くアプリケーションすべてが最新に維持されている場合でも、未知の脆弱性や修正が間に合っていない脆弱性を使った攻撃(ゼロデイ攻撃)を受けてしまえば、被害に遭う可能性が出てしまう。それだけに、これらの攻撃を検知・ブロックできるエクスプロイトブロッカーの存在はありがたい。