数百万種のマルウェアでも使われているテクニックは少ない

第3に、これが最も重要な情報であるが、サイバー攻撃には一定の“作法”がある。攻撃者の最終目標は、機密情報にせよ金銭にせよ、ファイルやアクセス情報などの何らかのデータを窃取することである。この目標に向かって、「情報収集」「エクスプロイトの悪用」「マルウェアの実行」「通信の確保」「データの奪取」というようなステップを踏む。情報収集を行わずにエクスプロイトを用いたり、マルウェアを実行せずにデータを奪取したりすることは、非常に難しい。つまり、これらのいずれかのポイントで活動を防ぐことができれば、被害を阻止できるということだ。

加えて、多種多様なエクスプロイトやマルウェアが存在していても、核となっている「テクニック」は限られているということも見逃せない。例えば、未知のマルウェアと言っても、パターンマッチングができないだけで、中身は既存のものとほとんど変わらない。1つのエクスプロイトで利用されているテクニックは3~5個、1つのマルウェアで利用されているテクニックは10個程度。現存するエクスプロイトのテクニックは、合計で30種類程度、マルウェアのテクニックは数十個と言われている。新たなテクニックが登場することもあるが、せいぜい1年に1~2個に過ぎず、結局は既存のテクニックと組み合わせて使う必要がある。

つまり、これらのテクニックを分析・検出し、止める手立てがあればよいのだ。 それを実現しているソリューションが、パロアルトネットワークスの提供する次世代の防御システム「Trapsアドバンストエンドポイントプロテクション」である。

攻撃テクニックを検知してブロックするTraps

Trapsは、ユーザーのPCにインストールし、エクスプロイトと悪意のあるプログラムの双方の活動をブロックするシステムである。それぞれの防御方法について解説しておこう。まずエクスプロイトは、上述したようにいくつかのテクニックを組み合わせることによって攻撃を行っている。例えば、あるAdobe Readerの脆弱性を突く攻撃では、攻撃準備「ヒープスプレー」、防御システムの回避「DEP(データ実行防止)の回避」、攻撃「OSの機能を悪用」という3つのテクニックが利用されていた。

Trapsでは、Adobe Readerに小さなモジュールを組み込んでおき、ユーザーの手によって悪意のあるPDFが読み込まれた段階で、テクニックそのものをブロックする。もし、ここに新しい攻撃準備手法が組み込まれた場合でも、防御システムの回避や攻撃の段階で阻止できる。

図2:エクスプロイト防御 ケーススタディー
-利用される手法の例

[図2]に示すように、最新の攻撃手法であっても実際のテクニックは重複しているのが現状だ。Trapsは、いずれの防御策も実装しており、最新のAdobe Flashの脆弱性も発見前から防御できていたことがわかっている。実際に国内のセキュリティ対策支援の専門会社であるストーンビートセキュリティ社が、侵入テスト(ペネトレーションテスト)として20種のエクスプロイト攻撃を実際に行ってみたところ、100%防御できるという検証結果であった。

悪意のある実行ファイルの防御も、基本的には同様だ。Trapsでは、「高度な実行制御」「インテリジェンスの活用」「振る舞い防御」という3段階の手法により攻撃を阻止している。まず、通常では考えられない“活動”を制御する。例えば、PDFやWordファイルに成りすました実行ファイルは、明らかにブロックすべきである。Wordから、ExcelやPowerPointなどを呼び出すことはよくあるが、通常は不要なプログラムを呼び出す行為は怪しい。署名のない実行プログラムは実行までに猶予を設ける(マルウェアはダウンロードしたファイルをすぐに利用したがる)といった具合だ。

次に、パロアルトネットワークスが提供する脅威情報クラウド「WildFire」を用いて、対象のプログラムが悪性のものか良性のものかを判断する。悪性であればすぐにブロックできるし、良性であればすぐに利用できる。未知のものが検出された時は、いったんブロックしたうえで、WildFireに送付して分析してもらうということも可能だ。例えば、ユーザー自身が開発した新しい業務アプリケーションなどは、当然のことながら未知のものとして検出されてしまう。WildFireに良性のものとして登録されれば、今後検知されることはなくなる。 最後に、マルウェアで利用されるテクニックを検知し、ブロックするというステップである[図3]

図3:悪意のある実行ファイルを止める正しい方法

(マイナビニュース広告企画:提供 パロアルトネットワークス)

[PR]提供:パロアルト