次世代ファイアウオールを提供してきたパロアルトネットワークスが、エンドポイント向けのセキュリティ製品をリリースした。シグネチャに頼るのではなく、攻撃コード(Exploit)のテクニックを検出することで、攻撃全体をブロックする新しいアプローチを採用している。
日に何千、何万と新たなマルウエアが登場し、時には未知の脆弱(ぜいじゃく)性を狙った攻撃も発生する昨今、既知の脅威の特徴を照合して攻撃を検出する従来型のアンチウイルスソフトウエアの限界が叫ばれるようになった。「アンチウイルスは死んだ」という前提に立ち、エンドポイントを保護する新たな方法を提供したい——パロアルトネットワークスは2015年5月19日、こうした考え方に基づく新しいセキュリティ製品「Traps」を発表した。
パロアルトネットワークスはこれまで、ネットワークゲートウエイで動作する次世代ファイアウオール製品を提供してきた。これに対しTrapsは、PC、つまりエンドポイントの保護にフォーカスした製品だ。パロアルトネットワークスのエバンジェリスト兼テクニカルディレクターの乙部幸一朗氏は、「従来型のアンチウイルスでは標的型攻撃は止められないというのが業界の常識になりつつある。これを踏まえた上で、攻撃にどう対応するかが焦点になっている」と述べ、新しいタイプの防御としてTrapsを開発したと説明した。
Trapsは、脆弱性を狙って送り込まれる攻撃コード(Exploit)の動作を検出し、その動作を妨げることでマルウエアへの感染を防止するセキュリティ製品だ。Exploitの挙動を細かく見ていくと、攻撃を成功させるためにDEP(Data Execution Prevention、データ実行防止)やASLR(Address Space Layout Randomization、アドレス空間配置のランダム化))といったWindows OSのセキュリティ機構をバイバスしたり、「ヒープスプレー」と呼ばれる手法を用いたりする。Trapsはこうした挙動を見つけ出すことに特化したセキュリティソフトウエアで、10種類の検出手法を用いてExploitの動きを妨げる。
「Exploitが利用するテクニックの連鎖のうちどれか一つでも断ち切ることで、攻撃全体をブロックする」と、米パロアルトネットワークス プロダクトマーケティング・ディレクターのセバスチャン・グッドウィン氏は述べた。ファイルをスキャンし、シグネチャと照合することでマルウエアを検出する手法ではないため、システムへの負荷が少なく、アップデートの手間も不要なことが特徴だ。
また、マルウエアの侵入を阻止するため、子プロセスの起動やスレッドインジェクションなどの防御機能も備える。さらに、同社がクラウド上に構築している脅威情報のデータベース「WildFire」を参照することで、新たな攻撃の情報を共有し、ブロックすることもできるという。
脆弱性を狙う手法に特化して攻撃を防ぐというアプローチを取った他のセキュリティツールとしては、マイクロソフトの「EMET」(Enhanced Mitigation Experience Toolkit)やFFRIの「Yarai」が挙げられるだろう。Yaraiは攻撃テクニックの検出に加え、サンドボックスやプログラム分析といった複数のアプローチを組み合わせているのに対し、Trapsは攻撃テクニック検出に特化し、その分、多角的に検出を行っている。
また、その攻撃コードがどの脆弱性を狙い、どんなURLやIPアドレスと通信を行ったかといった情報を取得し、後の調査活動を支援するフォレンジック機能も備えている。
Trapsがサポートする環境はWIndows OSを搭載するPCならびにサーバー。サポートが既に終了したWindows XPや間もなくサポート期限を迎えるWindows Server 2003も対象内だ。同社システムエンジニア・スペシャリストの池永章氏は、根本対策はパッチの適用であるとしながらも、「事実上それが不可能なレガシーなOSを保護する手段としても活用できるし、パッチを検証し、適用タイミングを計るための緩和策ともなる」と述べた。また、POSやATMといったWindowsベースの組み込み機器にも導入可能だ。
Trapsは米国では先にリリース済みだが、「販売、サポート体制を整え、ユーザーインターフェースの日本語化を行った上でこの時期に投入した」(グッドウィン氏)。価格はオープンで、大日本印刷、テクマトリックス、ネットワンシステムズといったパートナー経由で販売する。
Copyright © ITmedia, Inc. All Rights Reserved.