サンドボックス技術を開発するValidEdgeを買収した米McAfeeは、同技術を不正侵入防御システム(IPS)アプライアンス「McAfee Network Security Platform(NSP)」にも組み込んでいく。日本法人のマカフィーが4月2日に開いた記者向け発表会の中で明らかにした。
サンドボックスは、マルウェアかどうかを確かめるために、仮想環境の中でマルウェアを動作させて悪意のあるものかどうかを判断する。これまでの、すでに検知されたマルウェアのパターンに当てはまるどうかというシグネチャ型よりも迅速に脅威を検知できることから注目を集めている。米FireEyeが代表格であり、トレンドマイクロやチェック・ポイント・ソフトウェア・テクノロジーズなどもサンドボックス技術を取り入れた製品を投入している。
従来型では見つけにくい標的型攻撃
この1~2年でセキュリティで大きな課題とされているのが、持続的標的型攻撃(APT攻撃)だ。標的型攻撃は、狙う組織ごとにカスタマイズされていることから、従来の検知方法ではなかなか見つけにくいと指摘されている。
マカフィーの中村穣氏(マーケティング本部シニアプロダクトマーケティングスペシャリスト)は、既存のIPSでは標的型攻撃への対応に課題があると説明する。その課題とは「アプリケーションがどのように利用されているのか、状況を把握できない」というものだ。そのために、組織内部のシステムに侵入したマルウェアがどんな風に作動しているか分からず、マルウェアの存在を把握できない。
中村氏はIPSの課題として「出口対策ができない、未知のマルウェアを検知できない」ことも挙げている。標的型攻撃で使われるマルウェアは組織内部に侵入した後で“コマンド&コントロールサーバ(C&Cサーバ)”と通信して、目的とするシステムに到達、自分たちが狙う情報を外部に流出させる。
このC&Cサーバは、組織の外部にいる攻撃者が操作している。標的型攻撃では、外部への情報流出をくい止める出口対策が重要といわれている。IPSを代表に現在の脅威検知は、シグネチャ型がベース。シグネチャ型では、未知のマルウェア、まだ未知の脆弱性を攻撃するゼロデイ攻撃にも対応が難しいと指摘されている。
シグネチャか非シグネチャ
McAfeeで脅威を調査研究するMcAfee Labs東京の主任研究員である本城信輔氏は、マルウェアの解析モデル例として(1)内部コードをじっくり解読する、(2)仮想環境で動かしてみる、(3)実環境で動かしてみる――という3つを挙げる。これらには一長一短があり、攻撃手法によって使い分けを考慮することもあるという。