トップインタビュー

次世代型マルウェア対策は攻撃者の活動を捕まえる--カーボンブラックのCTO

國谷武史 (編集部)

2017-12-07 06:00

 PCなどのセキュリティ対策で近年、「次世代型エンドポイント」と称されるソリューションが注目を集める。その特徴などについて、この分野を手掛ける米Carbon Black 最高技術責任者(CTO)兼共同創設者のMichael Viscuso氏に聞いた。

攻撃者の手口を見ている

Carbon
Carbon Black 最高技術責任者兼共同創設者のMichael Viscuso氏

 Carbon Blackは、ホワイトリスト型アプリケーション制御ソフトを手掛けていたBit9と、Viscuso氏らが創業したマルウェア対策の旧Carbon Blackが2014年に合併し、現在は約3600社の顧客企業を抱え、1300万台以上のエンドポイントに製品を展開する。Viscuso氏は米国家安全保障局(NSA)や米中央情報局(CIA)でシステムへの侵入技術などの開発を手掛けた今でいう“ホワイトハッカー”の出身で、Bit9との合併前は最高経営責任者(CEO)を務めていた。

 同氏は、サイバー攻撃者にとってPCなどのエンドポイントは、非常に“有益な資産”だという。「エンドポイントさえ攻略すれば、その後はいろいろな場所に侵入できる。10年前のセキュリティ対策はインターネットとLANの境界で守っていたが、今はモバイル化やクラウド化でエンドポイント自体を重厚に守らないといけない」

 Viscuso氏は、ホワイトハッカー時代にウイルス対策ソフトの検知を回避する方法について研究していたという。「ソースコードを何百回もコンパイルすると、異なるアウトプットになる。それらをスキャンにかけると、幾つかは検知されないので、検知を逃れたファイルから新たなファイルを大量に生成していく」

 セキュリティベンダーなどが定期的に発行するレポートでは、よく新種マルウェアの著しい増加ぶりが報告される。その理由はViscuso氏が上述するような、攻撃者がウイルス対策ソフトのスキャンを回避する方法を駆使しているためだ。昔からあるウイルス対策ソフトは、個々のマルウェアを検知するシグネチャを利用するため、マルウェアのファイルが膨大になれば追従し切れなくなる。

 しかしViscuso氏は、マルウェアファイルの“形”が違っても、実態はさほど変化しないと話す。「マルウェアの動き自体はほとんど同じなので、静的解析からマルウェアファイルを見つけられなくても、動的解析なら見つけられる。このため我々は、マルウェアの動きを追う解析に力を入れている」

 次世代型のエンドポイントセキュリティは、シグネチャを用いた伝統的なウイルス対策ソフトとは異なるマルウェア対策のアプローチを総称したものといえる。具体的なアプローチの仕方にベンダーごとの特色が現れるが、Carbon Blackの場合は、PC上で発生するさまざまな挙動データを収集し、機械学習で解析することで、マルウェア特有の動作の検知とブロックを行うという。

PC上のイベントの監視と相関分析を常に行い、リスクスコアによってマルウェアなどの脅威を検知する''
PC上のイベントの監視と相関分析を常に行い、リスクスコアによってマルウェアなどの脅威を検知する

 「昨今ではファイルの形を伴わず、例えば、脆弱性を突いてPowerShellのようなツールを悪用してコードを実行するような攻撃手法も使われている。こうしたマルウェアを捉えるには、ウイルス対策ソフトのシグネチャでカバーするよりも広い範囲を監視しないといけない」

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    2025年はクラウドを標的にする攻撃が増加!?調査レポートに見る、今後警戒すべき攻撃トレンド

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. ビジネスアプリケーション

    業務マニュアル作成の課題を一気に解決へ─AIが実現する確認と修正だけで完了する新たなアプローチ

  4. 経営

    プロが教える“使える業務マニュアル”--作成・運用を実現する3つのポイント

  5. セキュリティ

    Microsoft Copilot for Security--DXをまい進する三井物産が選んだ理由

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]