パターンファイル頼りから脱却したエンドポイントセキュリティなぜ、アンチウイルスでは標的型攻撃から自社を守れないのか

アンチウイルスソフトウェアなど、基本的なセキュリティ対策を導入していない企業はもはや少数派だろう。にもかかわらず、「標的型攻撃」をはじめとする最近の脅威による被害は止まらない。シマンテックの「Symantec Endpoint Protection」は、従来の手法とは一線を画す新たな技術によってこれまでの対策手法の限界を打ち破り、強固なエンドポイント保護を実現する。

» 2013年10月07日 10時00分 公開
[PR/@IT]
PR

もうパターンファイル頼みでは守れない

 政府機関や特定の企業を狙った「標的型攻撃」に代表されるように、近年のセキュリティ脅威は明確な目的と対象を持ち、犯罪の様相を色濃くしている。ユーザーの意識向上だけでなく、個々のPCにおけるセキュリティ対策の強化がますます求められているのだ。

 もちろん、多くの企業ではアンチウイルスソフトの導入をはじめとするセキュリティ対策を取ってきているはずだ。にもかかわらず、こうした攻撃による被害は後を絶たない。いったいなぜだろうか? それは、「パターンファイル」に頼ってきたこれまでの対策の仕組みに原因がある。

 かつて流行した、同じ種類のウイルスが大量にばらまかれるマスメール型の攻撃ならば、既知のウイルスを解析して作られたパターンファイルを参照するアンチウイルスソフトで検出できた。ウイルスの特徴を示す、一種の「指名手配書」と比較することで「犯人」を見つけ出す仕組みだった。

 しかし、こうした従来型の検出方法はいま、高い壁にぶつかっている。まず、マルウェアの作成が容易になった結果、その数は増加の一途をたどっており、いまや1日平均で約100万種類の新種、亜種が登場している。これだけの数のマルウェアそれぞれについてパターンファイルの作成を待っていては、すばやく対応できない。

 しかも、現在主流の攻撃では、攻撃者は特定の企業やユーザー向けに「カスタマイズ」したマルウェアや検体の存在しない未知のマルウェアを送り込んでくる。場合によっては、攻撃者はマルウェアがパターンファイルでは検出できないことをあらかじめ確認した上で攻撃を仕掛けてくる。こうなるとパターンファイルに頼った対策は無力だ。

 近年、多くのセキュリティベンダが、未知のマルウェアへの対策を加速するためにクラウド側にパターンファイルを置き、それを参照することで、対策に要する時間を短縮しようと試みている。しかしこの場合も、パターンファイルに基づいて検出する以上、先回りしての対策は困難だ。標的型攻撃や脆弱性を突く攻撃の「最初の犠牲者」になってしまうことは避けられない。

脆弱性対策の重要性

 こうした攻撃の多くは、クライアントPCの脆弱性を突いて攻撃してくる。シマンテックの調べによると、標的型攻撃の多くは、OSやWebブラウザなどに存在するセキュリティホール、すなわち脆弱性を狙ってくるという。

 こうした攻撃を受けると、例えばWebサイト上のリンクをクリックしただけで、ユーザーがそれと知らないうちにマルウェアを送り込まれる。この結果、PCやサーバを乗っ取られ、最終的には社内の重要な情報を盗み取られてしまう恐れがある。自社だけが被害に遭うだけならばまだしも、感染した端末が外部への攻撃に荷担してしまう可能性は低くない。万一、取引先や顧客をウイルスに感染させてしまうと、その影響、被害は計り知れないものとなる。

 しかし、パターンマッチングによるウイルス対策機能だけでは、脆弱性を突いて侵入するこうした脅威を防ぐことはできない。より強固な対策によって、従業員のPCに存在する脆弱性を狙った攻撃をブロックしていく必要がある。

 ここで重要なポイントは2つある。1つは、単なるアンチウイルス機能ではなく、OSやWebブラウザ、プラグインなどのアプリケーションの脆弱性を突く攻撃をブロックする「IPS」など、脆弱性対策を実施すること。もう1つは、パターンファイルに頼らず脅威をブロックする機能などを兼ね備えた対策を実施することだ。

アンチウイルスに頼らないストロングプロテクションを実現する「Symantec Endpoint Protection 12」

 Symantec Endpoint Protection 12は、こうした条件を兼ね備え、従来型のセキュリティソフトとは一線を画す強固なエンドポイント保護「ストロングプロテクション」を実現する製品だ。

 標準で、パターンマッチングによるアンチウイルス機能を提供するほか、不正侵入防止(IPS)、ブラウザプロテクション、アプリの安全性を診断する「Insight」、リアルタイムに挙動分析を行う「SONAR」など、シマンテックが独自に開発した最新の防御技術を実装しており、PCやサーバを強固に保護する。また、外部デバイス制御機能によって、USB経由で感染するマルウェアにも対策できる。

 特徴の1つは、パターンファイルのマッチングに代表される既知の脅威を防ぐ技術だけでなく、クラウドベースのアプリ安全性評価システム「Insight」を参照し、プログラムの安全性を確認できることだ。

 Insightには、シマンテックが全世界に配置したセンサーで収集したアプリに関する情報が格納されている。ファイル名やハッシュだけでなく、「そのファイルが登場してからどのくらい時間が経っているか」「そのファイルを実行したユーザーは世界中でどのくらいいるか」といった情報まで確認可能だ。これにより、新たに生み出されたばかりの脅威や特定の組織や人物だけを狙ったカスタマイズされた脅威をあぶり出すことができる。

 万一ファイルを実行してしまった場合でも、リアルタイムの振る舞い検知技術「SONAR」によって、不審なアプリケーションをその場で検知し、「現行犯逮捕」できる。SONARは、「そのファイルがどんなデータにアクセスしようとしているか」「キー入力などを盗み見しようとしていないか」など、1400種類以上の挙動を解析した上で、怪しいプログラムの挙動をストップさせる。しかもその情報は日々アップデートされ、常に相手の裏をかこうとする攻撃者の意図をくじく仕組みだ。

 さらに、クライアントのさまざまな脆弱性を狙う攻撃からPCを保護するIPS機能も搭載。JavaやFlashといったアプリケーションの脆弱性も含め、クライアントPCに存在するさまざまな脆弱性を狙う攻撃をブロックする。

 しかもこれらの機能は互いに連携し合い、防御のレベルを高めている。

 例えば、IPSが外部への怪しい通信をブロックすると、その通信を発したプログラムの挙動情報がシマンテックに提供され、SONARのルールが進化する。また、Insightで「どうも怪しいのではないか」と判定されたアプリを利用する場合には、IPSがその挙動をリアルタイムで監視し、不審な挙動があれば即座にブロックする仕掛けだ。逆に、例えばSONARの解析結果で怪しいと判定したプログラムでも、Insightで安全と判断された場合、検出ルールを見直すことにより誤検出を減らし、セキュリティを保ちながらユーザーの利便性を損なわないようにできる。

 こうした防御機能は、いま喫緊のテーマとなっているWindows XPのサポート切れの対応にも有効だ。マイクロソフトは2014年4月9日をもってWindows XPのサポートを終了することを表明しており、それ以後は、たとえ脆弱性が発見されてもパッチが提供されることはない。つまり攻撃者にとっては格好のターゲットになってしまう。

 もちろん、最も適切な方法は、サポート終了期限までに新たなOSへと移行することだ。しかし、予算の制約などから、社内すべての端末について実現できない場合もあるだろう。そうした場合には、脆弱性を狙う攻撃をブロックするSymantec Endpoint Protection 12が暫定的な対策として有効だ。あるいは、PC移行を機に、より強固な対策として採用するのも1つだろう。

これからの脅威に対抗する次世代の「盾」

 アンチウイルスに加え、IPS、Insight、SONARという3つの新たな防御技術を標準で実装したSymantec Endpoint Protection 12は、従来型のセキュリティソフトとは一線を画す強固なエンドポイント保護を実現している。事実、オンラインバンクで不正な送金を行うマルウェア「Zeus」や3月に韓国で発生したサイバー攻撃に利用された「WS.Reputation.1」など、最新の脅威もいち早く検出し、攻撃を遮断してきた。

 こうしている今も、次々に脆弱性を狙う新たな攻撃が生まれている。パターンファイルがまだ用意されていない未知の攻撃からクライアントPCを保護し、ひいては企業の重要なデータを保護していく新たな「盾」として、ぜひ検討してみてはいかがだろうか。

アンケート回答者全員にホワイトペーパープレゼント

アンケートをご回答いただいた全員に、
5つのウイルス対策製品を徹底比較したホワイトペーパーをプレゼント!

 アンケートにご回答いただいた方全員に、5つのウイルス対策製品を徹底比較したホワイトペーパーを、またご回答いただいた方全員の中から、抽選で5名にAmazonギフト券5,000円分をプレゼント。

このアンケートは終了しました。ご協力ありがとうございました。


Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社シマンテック
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2013年12月6日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。