PCなどのセキュリティ対策で近年、「次世代型エンドポイント」と称されるソリューションが注目を集める。その特徴などについて、この分野を手掛ける米Carbon Black 最高技術責任者(CTO)兼共同創設者のMichael Viscuso氏に聞いた。
攻撃者の手口を見ている
Carbon Black 最高技術責任者兼共同創設者のMichael Viscuso氏
Carbon Blackは、ホワイトリスト型アプリケーション制御ソフトを手掛けていたBit9と、Viscuso氏らが創業したマルウェア対策の旧Carbon Blackが2014年に合併し、現在は約3600社の顧客企業を抱え、1300万台以上のエンドポイントに製品を展開する。Viscuso氏は米国家安全保障局(NSA)や米中央情報局(CIA)でシステムへの侵入技術などの開発を手掛けた今でいう“ホワイトハッカー”の出身で、Bit9との合併前は最高経営責任者(CEO)を務めていた。
同氏は、サイバー攻撃者にとってPCなどのエンドポイントは、非常に“有益な資産”だという。「エンドポイントさえ攻略すれば、その後はいろいろな場所に侵入できる。10年前のセキュリティ対策はインターネットとLANの境界で守っていたが、今はモバイル化やクラウド化でエンドポイント自体を重厚に守らないといけない」
Viscuso氏は、ホワイトハッカー時代にウイルス対策ソフトの検知を回避する方法について研究していたという。「ソースコードを何百回もコンパイルすると、異なるアウトプットになる。それらをスキャンにかけると、幾つかは検知されないので、検知を逃れたファイルから新たなファイルを大量に生成していく」
セキュリティベンダーなどが定期的に発行するレポートでは、よく新種マルウェアの著しい増加ぶりが報告される。その理由はViscuso氏が上述するような、攻撃者がウイルス対策ソフトのスキャンを回避する方法を駆使しているためだ。昔からあるウイルス対策ソフトは、個々のマルウェアを検知するシグネチャを利用するため、マルウェアのファイルが膨大になれば追従し切れなくなる。
しかしViscuso氏は、マルウェアファイルの“形”が違っても、実態はさほど変化しないと話す。「マルウェアの動き自体はほとんど同じなので、静的解析からマルウェアファイルを見つけられなくても、動的解析なら見つけられる。このため我々は、マルウェアの動きを追う解析に力を入れている」
次世代型のエンドポイントセキュリティは、シグネチャを用いた伝統的なウイルス対策ソフトとは異なるマルウェア対策のアプローチを総称したものといえる。具体的なアプローチの仕方にベンダーごとの特色が現れるが、Carbon Blackの場合は、PC上で発生するさまざまな挙動データを収集し、機械学習で解析することで、マルウェア特有の動作の検知とブロックを行うという。
PC上のイベントの監視と相関分析を常に行い、リスクスコアによってマルウェアなどの脅威を検知する
「昨今ではファイルの形を伴わず、例えば、脆弱性を突いてPowerShellのようなツールを悪用してコードを実行するような攻撃手法も使われている。こうしたマルウェアを捉えるには、ウイルス対策ソフトのシグネチャでカバーするよりも広い範囲を監視しないといけない」