トップインタビュー

次世代型マルウェア対策は攻撃者の活動を捕まえる--カーボンブラックのCTO

國谷武史 (編集部)

2017-12-07 06:00

 PCなどのセキュリティ対策で近年、「次世代型エンドポイント」と称されるソリューションが注目を集める。その特徴などについて、この分野を手掛ける米Carbon Black 最高技術責任者(CTO)兼共同創設者のMichael Viscuso氏に聞いた。

攻撃者の手口を見ている

Carbon
Carbon Black 最高技術責任者兼共同創設者のMichael Viscuso氏

 Carbon Blackは、ホワイトリスト型アプリケーション制御ソフトを手掛けていたBit9と、Viscuso氏らが創業したマルウェア対策の旧Carbon Blackが2014年に合併し、現在は約3600社の顧客企業を抱え、1300万台以上のエンドポイントに製品を展開する。Viscuso氏は米国家安全保障局(NSA)や米中央情報局(CIA)でシステムへの侵入技術などの開発を手掛けた今でいう“ホワイトハッカー”の出身で、Bit9との合併前は最高経営責任者(CEO)を務めていた。

 同氏は、サイバー攻撃者にとってPCなどのエンドポイントは、非常に“有益な資産”だという。「エンドポイントさえ攻略すれば、その後はいろいろな場所に侵入できる。10年前のセキュリティ対策はインターネットとLANの境界で守っていたが、今はモバイル化やクラウド化でエンドポイント自体を重厚に守らないといけない」

 Viscuso氏は、ホワイトハッカー時代にウイルス対策ソフトの検知を回避する方法について研究していたという。「ソースコードを何百回もコンパイルすると、異なるアウトプットになる。それらをスキャンにかけると、幾つかは検知されないので、検知を逃れたファイルから新たなファイルを大量に生成していく」

 セキュリティベンダーなどが定期的に発行するレポートでは、よく新種マルウェアの著しい増加ぶりが報告される。その理由はViscuso氏が上述するような、攻撃者がウイルス対策ソフトのスキャンを回避する方法を駆使しているためだ。昔からあるウイルス対策ソフトは、個々のマルウェアを検知するシグネチャを利用するため、マルウェアのファイルが膨大になれば追従し切れなくなる。

 しかしViscuso氏は、マルウェアファイルの“形”が違っても、実態はさほど変化しないと話す。「マルウェアの動き自体はほとんど同じなので、静的解析からマルウェアファイルを見つけられなくても、動的解析なら見つけられる。このため我々は、マルウェアの動きを追う解析に力を入れている」

 次世代型のエンドポイントセキュリティは、シグネチャを用いた伝統的なウイルス対策ソフトとは異なるマルウェア対策のアプローチを総称したものといえる。具体的なアプローチの仕方にベンダーごとの特色が現れるが、Carbon Blackの場合は、PC上で発生するさまざまな挙動データを収集し、機械学習で解析することで、マルウェア特有の動作の検知とブロックを行うという。

PC上のイベントの監視と相関分析を常に行い、リスクスコアによってマルウェアなどの脅威を検知する''
PC上のイベントの監視と相関分析を常に行い、リスクスコアによってマルウェアなどの脅威を検知する

 「昨今ではファイルの形を伴わず、例えば、脆弱性を突いてPowerShellのようなツールを悪用してコードを実行するような攻撃手法も使われている。こうしたマルウェアを捉えるには、ウイルス対策ソフトのシグネチャでカバーするよりも広い範囲を監視しないといけない」

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]