マカフィーは10月31日、マルウェア検知アプライアンス「McAfee Advanced Threat Defense」の国内提供を開始すると発表した。11月20日から出荷する。価格は1214万9860円から。
4月に買収したValidEdgeの技術をベースにしており、シグネチャやエミュレーション、サンドボックス解析、コード解析など、マルウェアに対して複数の検出手法を順次適用し、検出時間とパフォーマンス、検出精度を向上させていることが特徴だ。

マカフィー マーケティング本部 テクニカルソリューションズ ディレクター Bruce Snell氏
テクニカルソリューションズ ディレクター Bruce Snell氏は「近年のマルウェアは進化しており、ウイルス対策など従来型の防御では止めることができない。サンドボックス技術でも不十分なケースがある。Advanced Threat Defenseは、サンドボックスでも検出できないマルウェアにも対応できる」とアピールした。
近年のマルウェアは、窃盗やスパイ行為、妨害行為など犯罪目的が一般的になり、ステルス性が高く、特定の個人や組織向けにカスタマイズされ、さらに未知の脆弱性を悪用するなど、検出が困難になっている。
仮想マシン上でマルウェアを実際に実行させるサンドボックス技術についても、マルウェア自身が仮想マシン環境で動作していることを検出して自ら実行を止める技術が普及し、検出が難しくなった。サンドボックスは、ファイルが実行されたタイミングでしか検出しないため、そのタイミングで自らをスリープさせ、潜伏状態に入ろうとするマルウェアに対しては効果がないといった問題もある。
Advanced Threat Defenseでは、サンドボックスをかいくぐるマルウェアに対して、マルウェアのコードを解析し、既存のマルウェアのコードとの類似性がどのくらいあるかを診断して、マルウェアかどうかを判定する。高度なマルウェアは、既存のコードを流用して構成を変えたり、圧縮したりコードを難読化したりして、検出を逃れようとするが、それらをいったんソースコードに戻して比較する。
「サンドボックス内での動的解析とコードによる静的解析をセットで提供している。コードを見てサンドボックス内でスリープするような未知のマルウェアを見つける。ほとんどのマルウェアはソースコードにまで戻すことができ、検出精度も高い」(Snell氏)
動的解析では、レジストリの変更やネットワーク通信の状況、プロセスの動き、ファイルシステムの変更などが実行されていないかをチェックする。ファイルのコードのうち57%が未実行だったとすると、43%は潜伏して事後に実行されると判断し、これらを静的コード解析でチェックすることになる。

Advanced Threat Defenseのダッシュボード画面
サンドボックス環境でユニークな点としては、64ビット版のWindows XP/Vista/7やWindows Server、Androidといった幅広いOSに対応し、ユーザー自身でカスタムイメージをインストールすることが挙げられる。仮想マシンにリモートデスクトップ接続して、マルウェアの挙動を直接見ることもできる。
マルウェア検出の流れとしては、解析に時間やコストがかからないフィルタから順次適用していく。具体的には、ブラックリストやホワイトリスト、シグニチャ、クラウド上のデータベースに問い合わせるレピュテーション、エミュレーションエンジン、サンドボックスとコード解析といった順番だ。サンドボックスとコード解析には1ファイル60~90秒かかるが、事前にフィルタリングすることで、全体の検出時間を短縮させている。
製品コンセプトとしては、ほかのマカフィー製品と連携して「FIND(検出)」「FREEZE(被害最小化)」「FIX(修復)」という包括的なアプローチを提供できる点を挙げた。
検出については、マカフィーの不正侵入防止システム(IPS)「Network Security Platform(NSP)」やウェブゲートウェイ製品「Web Gateway」で検出したマルウェアの情報をAdvanced Threat Defenseに送り、サンドボックスで検出するといった連携が可能。被害最小化については、検出したマルウェアのフィンガープリントをローカルやクラウド上のデータベース「Global Threat Intelligence」に送信し、未知のマルウェアに迅速に対応できる。修復については、統合管理ツール「ePolicy Orchestrator(ePO)」を使って、ホストのクリーニング自動化に対応する。

ATD-3000
これらマカフィー製品を導入している環境については、ネットワーク機器の設定変更も必要なく、導入も容易だという。将来的には、クライアントやサーバが感染していないかどうかをリアルタイムに調べる「Real Time for ePO」に対応して、感染端末の特定や修復も可能になるほか、他社ISP製品などとの連携にも対応する予定としている。
モデルとしては、1Uサイズで検出ファイル数が1日あたり最大15万件の「ATD-3000」と、2Uサイズで検出ファイル数が1日あたり最大25万件の「ATD-6000」をラインアップしている。