編集部からのお知らせ
新着・電子インボイスの記事まとめ
記事まとめDL:オンライン確認「eKYC」
トップインタビュー

次世代型マルウェア対策は攻撃者の活動を捕まえる--カーボンブラックのCTO

國谷武史 (編集部)

2017-12-07 06:00

 PCなどのセキュリティ対策で近年、「次世代型エンドポイント」と称されるソリューションが注目を集める。その特徴などについて、この分野を手掛ける米Carbon Black 最高技術責任者(CTO)兼共同創設者のMichael Viscuso氏に聞いた。

攻撃者の手口を見ている

Carbon
Carbon Black 最高技術責任者兼共同創設者のMichael Viscuso氏

 Carbon Blackは、ホワイトリスト型アプリケーション制御ソフトを手掛けていたBit9と、Viscuso氏らが創業したマルウェア対策の旧Carbon Blackが2014年に合併し、現在は約3600社の顧客企業を抱え、1300万台以上のエンドポイントに製品を展開する。Viscuso氏は米国家安全保障局(NSA)や米中央情報局(CIA)でシステムへの侵入技術などの開発を手掛けた今でいう“ホワイトハッカー”の出身で、Bit9との合併前は最高経営責任者(CEO)を務めていた。

 同氏は、サイバー攻撃者にとってPCなどのエンドポイントは、非常に“有益な資産”だという。「エンドポイントさえ攻略すれば、その後はいろいろな場所に侵入できる。10年前のセキュリティ対策はインターネットとLANの境界で守っていたが、今はモバイル化やクラウド化でエンドポイント自体を重厚に守らないといけない」

 Viscuso氏は、ホワイトハッカー時代にウイルス対策ソフトの検知を回避する方法について研究していたという。「ソースコードを何百回もコンパイルすると、異なるアウトプットになる。それらをスキャンにかけると、幾つかは検知されないので、検知を逃れたファイルから新たなファイルを大量に生成していく」

 セキュリティベンダーなどが定期的に発行するレポートでは、よく新種マルウェアの著しい増加ぶりが報告される。その理由はViscuso氏が上述するような、攻撃者がウイルス対策ソフトのスキャンを回避する方法を駆使しているためだ。昔からあるウイルス対策ソフトは、個々のマルウェアを検知するシグネチャを利用するため、マルウェアのファイルが膨大になれば追従し切れなくなる。

 しかしViscuso氏は、マルウェアファイルの“形”が違っても、実態はさほど変化しないと話す。「マルウェアの動き自体はほとんど同じなので、静的解析からマルウェアファイルを見つけられなくても、動的解析なら見つけられる。このため我々は、マルウェアの動きを追う解析に力を入れている」

 次世代型のエンドポイントセキュリティは、シグネチャを用いた伝統的なウイルス対策ソフトとは異なるマルウェア対策のアプローチを総称したものといえる。具体的なアプローチの仕方にベンダーごとの特色が現れるが、Carbon Blackの場合は、PC上で発生するさまざまな挙動データを収集し、機械学習で解析することで、マルウェア特有の動作の検知とブロックを行うという。

PC上のイベントの監視と相関分析を常に行い、リスクスコアによってマルウェアなどの脅威を検知する''
PC上のイベントの監視と相関分析を常に行い、リスクスコアによってマルウェアなどの脅威を検知する

 「昨今ではファイルの形を伴わず、例えば、脆弱性を突いてPowerShellのようなツールを悪用してコードを実行するような攻撃手法も使われている。こうしたマルウェアを捉えるには、ウイルス対策ソフトのシグネチャでカバーするよりも広い範囲を監視しないといけない」

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

関連記事

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    マンガでわかる「ルール駆動開発」レガシーモダナイズを成功させる開発手法を基礎から理解する

  2. 経営

    5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは

  3. セキュリティ

    APIエコシステムを狙うサイバー攻撃が急増、Webアプリにおける最新のAPIセキュリティ対策とは?

  4. セキュリティ

    クラウドやコンテナ利用が増える中、世界の企業が利用するAPI経由の安全なアプリ構築手法とは?

  5. マーケティング

    ウェビナーによる営業活動が本格化、顧客接点が増加する一方で見えてきたハードルと解決策とは?

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]