パロアルトネットワークスは1月15日、ファイアウォール向け最新OS「PAN-OS 6.0」の提供を開始した。PAN-OS 6.0では、クラウド型マルウェア分析仮想サンドボックス「WildFire」の改善が図られ、未知のマルウェア、ゼロデイ攻撃、標的型攻撃(APT)の検知とブロックが強化され、サイバー攻撃の脅威検知と防御機能を向上させることを目指している。
WildFireは、同社のファイアウォール製品と連携するクラウドサービス。仮想環境で実行形式ファイルを実行、その動作を観察することでファイルに潜む悪意のある活動を識別できる。
今回のPAN-OS 6.0は、WildFireの検査対象が広がり、PDFやOffice文書、Java、Android APKが加わった。サンドボックスを検査しマルウェアを検知して、シグネチャを配信できる。WildFireでは新たにWindows 7、Androidでのサンドボックス分析に対応し、アプリケーションやOSに対するゼロデイ攻撃も“振る舞い”を分析することで迅速に検知できるという。
従来はWindows XPに対応し、検査対象は実行ファイル形式のもの(EXE、DLL)だった。同社によれば、マルウェアはほとんどがこれらの形式で発見されるが、PDFやOffice文書、Java、Android APKはいわゆる“virus-dropper”として悪用されることがあり、今回の措置で、virus-dropperも未知のマルウェアとして検知できるという。
パロアルトネットワークス 技術本部長 乙部幸一朗氏
PAN-OS 6.0では、DNS通信のパッシブモニタリング機能も追加された。DNS通信を同社に送り、モニタリングを行い、悪意のあるDNSドメインがみつかるとシグネチャを作成し、ファイアウォールに配信する仕組みだ。
DNSシンクホール機能も新たに付加された。ファイアウォールがDNSサーバの代わりに応答、疑似アドレスへと誘導することでマルウェアに感染した端末を洗い出し、感染端末を排除する。
同社技術本部長の乙部幸一朗氏は「先週1週間で1万2667個のマルウェアが新たに発見されたが、そのうち主要なウイルス対策製品でも検知できなかったのが9409種類、全体の74%を占めていた」と指摘。不正な攻撃からシステムを守るには、既存のウイルス対策ソフトだけでの対処には限界があるとの見解を示した。