30日もかかるFTPを経由するマルウェアのシグネチャ配信
それでは、より詳細にアプリケーションごとに見て行きましょう。上の図はマルウェアの侵入に利用された回数のトップ5を書き込んでいます。1位はウェブブラウジング、2位はhttp-proxyです。http-proxyはインターネット上にある代理サーバです。企業内のユーザーがこの代理サーバを経由してインターネットにアクセスすることによりIPアドレスを隠したり、企業のセキュリティを回避したりする目的で使用されます。この上位2つのアプリケーションではウイルス対策ソフトベンダーがシグネチャを配信するまでに平均19日から20日かかっています。
3位はSMTPです。ウイルス対策ソフトベンダーのシグネチャ配信は平均5日でした。5位のPOP3は平均3日でした。メールの通信であるこの2つは検知スピードも比較的早く、ここからもメール経由のウイルス対策ソフトが効果的であることを示しています。
4位のFTPは注意が必要です。マルウェアの侵入に利用される頻度が4位と多く、シグネチャ配信まで平均30日と長い日数がかかっています。FTPが運ぶファイルの中に含まれる既知と未知のマルウェアを今よりも短期間で見つけ出し防御する必要があります。FTPについては次回、もう少し詳しくご紹介します。
マルウェアが犯罪者だとすると、シグネチャは指名手配書です。マルウェアが攻撃対象を不特定多数としている場合は、ウイルス対策ソフトベンダーも検体を比較的早く見つけることができるため、シグネチャベースのアプローチは効果的でした。しかし標的型攻撃では、攻撃対象を特定しているために、まったく新しいまたはカスタマイズしたマルウェアを作成することが多く、シグネチャを作ることは困難です。
もちろんシグネチャベースのアプローチは既知のマルウェアの検知率やスキャンスピードにおいて、いまだ効果的な手法であり使い続ける必要があります。しかしそれだけでは十分ではなくなってきており、いかにシグネチャにないマルウェアを検知、防御するかが大きな課題です。
一部のマルウェアは自身がいる環境がサンドボックスかどうかの判断を試み、サンドボックスと特定できれば発見を逃れるため活動を停止します。それに対抗し、セキュリティベンダーとしてはマルウェアにサンドボックスと判断されないような仕掛けをするわけです。その辺りについては別の回でくわしく触れたいと思います。
- 菅原 継顕
- 米パロアルトネットワークス 日本国内で大手アンチウイルスベンダー、UTMベンダーなどでマーケティングを担当し、現在パロアルトネットワークス米国本社でシニアプロダクトマーケティングとして管理系製品、日本とアジア市場を担当。約15年、情報セキュリティに携る。
Keep up with ZDNet Japan
ZDNet JapanはFacebook、Twitter、RSS、メールマガジンでも情報を配信しています。