パロアルトネットワークスは1月15日、次世代ファイアウォール向けの最新OS「PAN-OS 6.0」の提供開始を発表した。同日、パロアルトは本社内で記者会見を開き、同社 技術本部長の乙部 幸一朗氏が新機能について説明を行った。
同社の「次世代ファイアウォール」は、クラウド型マルウェア分析仮想サンドボックス「WildFire」と連携し、標的型攻撃の検知とブロックが行える。
今回の最新OSで拡張された主な機能は「拡張されたファイル可視化」と「DNS通信に対する脅威防御」の2点。
まず、拡張されたファイル可視化は、これまで対応していたexe(実行ファイル)とdll(ライブラリファイル)の検査に加え、「PDF」と「Office」「Java」「apk」ファイルの検査が可能となる。
仮想サンドボックスのOS環境も、これまでのWindows XPに加えてWindows 7とAndroidに対応。Androidは、モバイルデバイスの普及に伴い、急速に企業内でも採用が進んでいることを受けて対応した。
これまでもクラウドのサンドボックスとして提供されてきたWildFireだが、無償で利用する場合には、クラウドへマルウェアの検体を送信する場合、一部契約で1日1回だけシグネチャ配信を受けられるほかは、サポートを受けることができなかった。
このため、「パロアルト製品をご利用いただいている法人ユーザーのうち、2400社程度と利用率があまり伸びていなかった」(パロアルト・乙部氏)のだという。
そこで、「クラウドサービスは、多くのユーザーに利用していただいてこそ意味がある」と語る乙部氏は、マルウェアの分析レポートの無償化を発表した。これにより、時系列レポートやオリジナル検体ファイルとPCAPのダウンロード、IOC連携などが可能になる。
続く、「DNS通信に対する脅威防御」では、「パッシブDNSモニタリング」と「ローカルDNSシンクホール」という2つの新機能を提供する。
「パッシブDNSモニタリング」は、ユーザーのオプトインによって、全てのDNS通信をモニタリング。C&Cサーバーなどのドメインを発見することで、マルウェアの検知やブロック、封じ込めを行う。
DNSのシグネチャも配信が行われる予定で、WildFireなどから収集した悪意あるDNSドメインのデータベースが構築されている。
一方、「ローカルDNSシンクホール」では、DNSの代理応答による、擬似アドレスをクライアントPCに払い出すことで、マルウェアに感染してしまったPCを洗い出す。例えば、「controlme.com」というサイトに対するDNSリクエストがあった場合、社内のDNSサーバーはアドレス解決ができないため、上位の仮想DNSサーバーを立てているパロアルトの次世代FWへとDNSリクエストを出す。そこで次世代FWは、シグネチャと照合を行い、マルウェアだった場合に擬似アドレスを払い出し、感染端末を割り出すという流れとなる。
法人ユーザーからバイドゥIMEに関する問い合わせが相次ぐ
ほかにも、40種類以上の新機能を追加した「PAN-OS 6.0」だが、次世代FWの多層防御機能の中に、アプリ別の通信ブロック機能が存在する。
アプリ全体の通信をブロックするわけではなく、「Facebookメッセンジャーで怪しいファイルのやり取りが行われている」「Skypeでファイル交換が行われている」といった、動作の一部のブロックが可能となっている機能だが、パロアルトでは1900以上のアプリケーションに「App-ID」を割り当て、ブロックを行っている。
この点で、年末から年明けにかけて法人ユーザーから問い合わせが相次いだのが「バイドゥIME」だ。バイドゥIMEは「バイドゥが無断送信に対する見解を再度発表 - Baidu IMEについては疑惑否定」の通り、入力情報送信機能の設定オフや、バイドゥによる送信情報の無断利用は否定されているものの、企業や官公庁からの拒否反応は根強いものがあるという。
乙部氏は「年明けに100件以上のお問い合わせをいただいた」と明かした上で、バイドゥIMEに「App-ID」を割り当て、通信ブロックや、同IMEを使用しているPCの洗い出しが可能になったことを明らかにした。
ただしその一方で、「バイドゥIMEが悪いというわけではなく、あくまで企業ユーザーからの問い合わせが多く対応したもの。今後も、同様の話があれば、適宜対応していく」としている。