サンドボックスやコード解析などを活用--マカフィー、マルウェア検知で新製品

齋藤公二 (インサイト) 2013年10月31日 17時42分

  • このエントリーをはてなブックマークに追加

 マカフィーは10月31日、マルウェア検知アプライアンス「McAfee Advanced Threat Defense」の国内提供を開始すると発表した。11月20日から出荷する。価格は1214万9860円から。

 4月に買収したValidEdgeの技術をベースにしており、シグネチャやエミュレーション、サンドボックス解析、コード解析など、マルウェアに対して複数の検出手法を順次適用し、検出時間とパフォーマンス、検出精度を向上させていることが特徴だ。


マカフィー マーケティング本部 テクニカルソリューションズ ディレクター Bruce Snell氏

 テクニカルソリューションズ ディレクター Bruce Snell氏は「近年のマルウェアは進化しており、ウイルス対策など従来型の防御では止めることができない。サンドボックス技術でも不十分なケースがある。Advanced Threat Defenseは、サンドボックスでも検出できないマルウェアにも対応できる」とアピールした。

 近年のマルウェアは、窃盗やスパイ行為、妨害行為など犯罪目的が一般的になり、ステルス性が高く、特定の個人や組織向けにカスタマイズされ、さらに未知の脆弱性を悪用するなど、検出が困難になっている。

 仮想マシン上でマルウェアを実際に実行させるサンドボックス技術についても、マルウェア自身が仮想マシン環境で動作していることを検出して自ら実行を止める技術が普及し、検出が難しくなった。サンドボックスは、ファイルが実行されたタイミングでしか検出しないため、そのタイミングで自らをスリープさせ、潜伏状態に入ろうとするマルウェアに対しては効果がないといった問題もある。

 Advanced Threat Defenseでは、サンドボックスをかいくぐるマルウェアに対して、マルウェアのコードを解析し、既存のマルウェアのコードとの類似性がどのくらいあるかを診断して、マルウェアかどうかを判定する。高度なマルウェアは、既存のコードを流用して構成を変えたり、圧縮したりコードを難読化したりして、検出を逃れようとするが、それらをいったんソースコードに戻して比較する。

 「サンドボックス内での動的解析とコードによる静的解析をセットで提供している。コードを見てサンドボックス内でスリープするような未知のマルウェアを見つける。ほとんどのマルウェアはソースコードにまで戻すことができ、検出精度も高い」(Snell氏)

 動的解析では、レジストリの変更やネットワーク通信の状況、プロセスの動き、ファイルシステムの変更などが実行されていないかをチェックする。ファイルのコードのうち57%が未実行だったとすると、43%は潜伏して事後に実行されると判断し、これらを静的コード解析でチェックすることになる。


Advanced Threat Defenseのダッシュボード画面

 サンドボックス環境でユニークな点としては、64ビット版のWindows XP/Vista/7やWindows Server、Androidといった幅広いOSに対応し、ユーザー自身でカスタムイメージをインストールすることが挙げられる。仮想マシンにリモートデスクトップ接続して、マルウェアの挙動を直接見ることもできる。

 マルウェア検出の流れとしては、解析に時間やコストがかからないフィルタから順次適用していく。具体的には、ブラックリストやホワイトリスト、シグニチャ、クラウド上のデータベースに問い合わせるレピュテーション、エミュレーションエンジン、サンドボックスとコード解析といった順番だ。サンドボックスとコード解析には1ファイル60~90秒かかるが、事前にフィルタリングすることで、全体の検出時間を短縮させている。

 製品コンセプトとしては、ほかのマカフィー製品と連携して「FIND(検出)」「FREEZE(被害最小化)」「FIX(修復)」という包括的なアプローチを提供できる点を挙げた。

 検出については、マカフィーの不正侵入防止システム(IPS)「Network Security Platform(NSP)」やウェブゲートウェイ製品「Web Gateway」で検出したマルウェアの情報をAdvanced Threat Defenseに送り、サンドボックスで検出するといった連携が可能。被害最小化については、検出したマルウェアのフィンガープリントをローカルやクラウド上のデータベース「Global Threat Intelligence」に送信し、未知のマルウェアに迅速に対応できる。修復については、統合管理ツール「ePolicy Orchestrator(ePO)」を使って、ホストのクリーニング自動化に対応する。


ATD-3000

 これらマカフィー製品を導入している環境については、ネットワーク機器の設定変更も必要なく、導入も容易だという。将来的には、クライアントやサーバが感染していないかどうかをリアルタイムに調べる「Real Time for ePO」に対応して、感染端末の特定や修復も可能になるほか、他社ISP製品などとの連携にも対応する予定としている。

 モデルとしては、1Uサイズで検出ファイル数が1日あたり最大15万件の「ATD-3000」と、2Uサイズで検出ファイル数が1日あたり最大25万件の「ATD-6000」をラインアップしている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]