日本年金機構からの情報流出事件で攻撃に使われたのが「Emdivi」と呼ばれるマルウェア。年金機構の事件で話題になったが、各セキュリティベンダーの調査では、長期間にわたって活動していたマルウェアで、特に「日本を狙った攻撃」であることが特徴とされる。

特定の組織を狙った標的型攻撃だったため、これまでセキュリティソフトに検出されにくかったようだが、こうしたEmdiviのようなマルウェアを悪用したっ標的型攻撃も「事前に検出可能だった」と主張するのが、FFRI 社長の鵜飼 裕司氏だ。こうした標的型攻撃を同社の製品がどうして検出できるのか、話を聞いた。

FFRI 社長 鵜飼 裕司氏

年金機構を襲ったマルウェア「Emdivi」を検知できた「FFR yarai」

FFRIは、企業向けメインのセキュリティソフト「FFR yarai」を提供する。このyaraiは、特に標的型攻撃に対して威力を発揮する製品として、国内で40万台超のPCで稼働しているという。このFFR yaraiに対して、同社が入手したEmdiviの検体で試験をしたところ、攻撃をブロックできたという。

FFR yaraiは2009年にリリースされたセキュリティソフトだが、当初より鵜飼氏は、従来のパターンマッチング型のマルウェア対策には限界があると考えていた。

パターンファイルを使って、マルウェアと照合する方法は、マルウェアが少しでも変更されると検知できず、亜種が増えれば増えるほど、パターンファイルの量が膨大となり、システム負荷も高くなり、効率も悪くなる。

標的型攻撃は、特定の組織を狙ってカスタマイズされているため、検体を入手しづらく、その検体からパターンファイルを作成するため、検体が手に入らなければ検知もできない。

こうしたパターンファイルの弱点を補完する形で、FFRIが研究してきたのがヒューリスティックによる検出方法で、「メタな情報に着目して、怪しさを判別して検知するようにした」(鵜飼氏)ものが FFR yaraiのベースとなっている。

FFR yaraiのポイントは、この"怪しさの定義"で「黒(マルウェア)を黒と見分ける技術」が重要になるという。FFR yaraiに搭載されている技術は5つのヒューリスティックエンジンで、「いろいろな専門的な立場でプログラムを分析」してマルウェアを検知する。

Adobe Readerなどの脆弱性を悪用する攻撃は「ほぼ止められる」としており、USBメモリ経由やEXEファイルのまま送られるような場合でも、5つのエンジンのいずれかがブロックするそうだ。

鵜飼氏によれば、実は標的型攻撃に悪用される高度なマルウェアは「通常のプログラムとかけ離れているので検知しやすい」という。逆に、パターンファイルが得意とする「通常のプログラムに近い(偽アンチウイルスといった)マルウェア」は検知しづらいという。

Emdiviは、日本年金機構の攻撃で使われた検体だけでなく、さまざまな日本の組織を狙った亜種が出回っているようで、同社が入手した検体も数種類あるという。そのいずれも、FFR yaraiでは検出し、防御できていたそうだ。

FFR yaraiの独自エンジンとは?

このFFR yaraiのエンジンには、機械学習エンジンも含まれており、いろいろなマルウェアのメタデータを分析し、ロジックを機械学習して検知を行っているが、それ以外の4つのエンジンは、「攻撃者の立場に立ってロジックの研究をしている」と鵜飼氏。

このエンジンのロジックは、年2回程度のアップデートで常に強化をし続けているという。「ヒューリスティックでやっていくのに大事なことは、後手後手(の対策)から脱却すること」と鵜飼氏は強調する。

現在の攻撃技術を分析し、どのようなマルウェアが使われているかを検証し、それに対抗するためのロジックはどういうものが必要か、という研究をするにあたって、将来的に発生しうる攻撃を、犯罪者より「先に開発する」というわけだ。そのロジックを組み込んでおけば、攻撃者がその攻撃手法を開発したとしても、すでに対応できるようになっている。

鵜飼氏は、「攻撃技術に関する研究は大事であり、彼ら(攻撃者)を後手後手にしていくのが重要」と話す。こうした結果、2009年以降「連戦連勝」だという。

標的型攻撃は、官庁などの政府系組織から大手企業をはじめ、さまざまな企業が狙われている。特定の業種業態だけが狙われているわけでもないため、企業などは狙われる前提で対策を取る必要があるだろう。

それについて鵜飼氏は、「自分たちの組織が今どうなっているのか、可視化するのが重要」と指摘する。そのためには、セキュリティ企業の診断サービスを受けることもできるし、FFRI自身もそうしたサービスを提供している。とはいえ、「コストを抑えて把握する方法はある」と鵜飼氏。

FFR yaraiは無料評価版も配布しているため、これを使うことで「少なくとも現状はわかる」という。こうしたツールを使うことで、まずは現状を把握し、例えばすでに狙われている場合もあるだろうし、組織内の弱点がわかれば、改めてセキュリティ強化の対策につなげることができる。

東京五輪がセキュリティに及ぼす影響は?

将来的な攻撃において、鵜飼氏が懸念しているのは、2020年の東京五輪だ。

「IoTオリンピックとも呼ばれている」と語るが、その頃にはさまざまなIoTデバイスが市場に出まわっている可能性は高い。それに対して、「問題は、どんなIoTが広まっているか」と鵜飼氏。

将来が予測しづらいために、鵜飼氏も「いろいろ考えなければならないことが多い」と苦笑する。鵜飼氏は、総務省でのセキュリティ対策のための会合にも参加しつつ、予測をして、対策を考えていく。

「スマートフォンオリンピック」と呼ばれたロンドン五輪は、さまざまなサイバー攻撃があったものの、「取りあえず乗り切った」。それがさらにIoTオリンピックになると「どこの国も経験したことがない状況になるため、世界からの攻撃が集まる可能性があるとして、「現実的なコスト感で、かつITがフルに利活用できるような状況を、我々セキュリティ屋さんも考えていきたい」としている。

Windows 10はセキュリティの分水嶺

また、Windows 10について、鵜飼氏は「普及する可能性がある」とコメント。

Windows 8から大きなセキュリティ上の変化があり、Windows Defenderが標準搭載された点をポイントとして挙げる。パターンマッチング型のマルウェア対策がOS標準で入り、それがWindows 10でも同様に標準搭載されることになるため、これを搭載したWindows 10が普及することで、パターンマッチング型のマルウェア対策がそれでカバーできるようになるとみている。

一方で、ヒューリスティック型の対策を得意とするセキュリティベンダーが海外でも幾つか出てきており、今後はパターンマッチング型のマルウェア対策と入れ替わっていくことが予想される。しかしながら鵜飼氏は、「エンドポイントでこうした商品を出したのは、世界でも一番早かったと思っている」という開発の蓄積と技術力に自信を見せ、「他社とはけっこう差が開いている」とも話していた。