次世代型マルウェア対策は攻撃者の活動を捕まえる--カーボンブラックのCTO

ZDNet Japan 2017年12月07日(木)06時00分配信

 PCなどのセキュリティ対策で近年、「次世代型エンドポイント」と称されるソリューションが注目を集める。その特徴などについて、この分野を手掛ける米Carbon Black 最高技術責任者(CTO)兼共同創設者のMichael Viscuso氏に聞いた。

攻撃者の手口を見ている

 Carbon Blackは、ホワイトリスト型アプリケーション制御ソフトを手掛けていたBit9と、Viscuso氏らが創業したマルウェア対策の旧Carbon Blackが2014年に合併し、現在は約3600社の顧客企業を抱え、1300万台以上のエンドポイントに製品を展開する。Viscuso氏は米国家安全保障局(NSA)や米中央情報局(CIA)でシステムへの侵入技術などの開発を手掛けた今でいう“ホワイトハッカー”の出身で、Bit9との合併前は最高経営責任者(CEO)を務めていた。

 同氏は、サイバー攻撃者にとってPCなどのエンドポイントは、非常に“有益な資産”だという。「エンドポイントさえ攻略すれば、その後はいろいろな場所に侵入できる。10年前のセキュリティ対策はインターネットとLANの境界で守っていたが、今はモバイル化やクラウド化でエンドポイント自体を重厚に守らないといけない」

 Viscuso氏は、ホワイトハッカー時代にウイルス対策ソフトの検知を回避する方法について研究していたという。「ソースコードを何百回もコンパイルすると、異なるアウトプットになる。それらをスキャンにかけると、幾つかは検知されないので、検知を逃れたファイルから新たなファイルを大量に生成していく」

 セキュリティベンダーなどが定期的に発行するレポートでは、よく新種マルウェアの著しい増加ぶりが報告される。その理由はViscuso氏が上述するような、攻撃者がウイルス対策ソフトのスキャンを回避する方法を駆使しているためだ。昔からあるウイルス対策ソフトは、個々のマルウェアを検知するシグネチャを利用するため、マルウェアのファイルが膨大になれば追従し切れなくなる。

 しかしViscuso氏は、マルウェアファイルの“形”が違っても、実態はさほど変化しないと話す。「マルウェアの動き自体はほとんど同じなので、静的解析からマルウェアファイルを見つけられなくても、動的解析なら見つけられる。このため我々は、マルウェアの動きを追う解析に力を入れている」

 次世代型のエンドポイントセキュリティは、シグネチャを用いた伝統的なウイルス対策ソフトとは異なるマルウェア対策のアプローチを総称したものといえる。具体的なアプローチの仕方にベンダーごとの特色が現れるが、Carbon Blackの場合は、PC上で発生するさまざまな挙動データを収集し、機械学習で解析することで、マルウェア特有の動作の検知とブロックを行うという。

 「昨今ではファイルの形を伴わず、例えば、脆弱性を突いてPowerShellのようなツールを悪用してコードを実行するような攻撃手法も使われている。こうしたマルウェアを捉えるには、ウイルス対策ソフトのシグネチャでカバーするよりも広い範囲を監視しないといけない」

攻撃を予測するにはデータが必要

 次世代型のエンドポイントセキュリティソリューションでは、従来のウイルス対策ソフトが提供していたマルウェアの検知や防御に加えて、端末に侵入したマルウェアなどの活動状況を調べて拡散などの二次的な被害に備えた対応を図る「Endpoint Detection & Response(EDR)」と呼ばれる機能も注目される。EDR機能を製品に搭載するセキュリティベンダーが増えている。

 EDRはその機能の特徴から、解析のために端末内部の動きに関する膨大かつ多様なデータを必要とする。さらに、ベンダーが持つセキュリティ脅威情報を組み合わせることで脅威の検出精度を高める必要があるため、クラウド型の仕組みを採用しているケースは多い。ただ、膨大なデータをベンダーのクラウド環境へアップロードすることに抵抗があるというユーザー企業は多い。また、データの機密性を懸念する場合もある。

 Viscuso氏は、「現在のEDRはベンダーがそれぞれに必要だと判断した種類の情報を集めるようにフィルタリングすることで、ユーザーの懸念に対処している。ただ、それで脅威を高い精度で検出できるかといえば、難しい場合もある」と話す。

 サイバー攻撃者は、侵入の踏み台になるエンドポイントのセキュリティの攻略に、あらゆる手法を駆使する。それらを補足するには、できるだけ多くの端末のデータが必要というのが、Viscuso氏の考えだそうだ。このためCarbon Blackは、ユーザーのファイルやネットワークなどに関する機密性の高い情報以外は、基本的にフィルタリングせずにユーザーから提供してもらうという。

 「我々のソリューションを希望するユーザーは、深刻な被害が起きる前に攻撃を予想して対処したいというモチベーションが高く、インシデント対応に強いセキュリティの“玄人”が多い。コミュニティーを通じてユーザー同士で新たな脅威に対処することも珍しくない」

 同社のいう次世代型のエンドポイントソリューションを使うには、ユーザーにも相応のスキルやノウハウ、経験などが求められ、ユーザーの規模拡大には制約があるだろう。Viscuso氏は今後、防御やホワイトリスト、EDR、インシデント調査など複数の製品を今後統合し、端末のローカル環境とクラウド環境で動作するハイブリッド型のソリューションとして提供していく考え。また市場開拓にも取り組み、4月には日本法人のカーボン<5302>・ブラック・ジャパンを設立した。「我々は日本市場への投資に力を入れていく。2018年は人員規模を2倍に増やし、セールス、サポート、サービスの体制を確立する」

 日本市場では、次世代型のエンドポイントソリューションを訴求するベンダーが増えている。次世代型といっても、ベンダーごとにそのアプローチは異なり、ユーザーが適用できる手法もさまざまだ。従来のエンドポイントセキュリティは、ウイルス対策ソフトを基本としてきたが、次世代型の登場でその形は今後、大きな変化を迎えそうだ。

ZDNet Japan
もっと見る もっと見る

【あわせて読む】

    最終更新: 2017年12月07日(木)06時00分

    【関連ニュース】

    【コメント】

    • ※コメントは個人の見解であり、記事提供社と関係はありません。