ウォッチガード、UTMにサンドボックスを活用した標的型攻撃対策機能を追加:仮想CPUや仮想メモリも再現し、マルウェアの回避行動を検出
ウォッチガード・テクノロジー・ジャパンは、UTM/次世代ファイアウォールアプライアンス「eXtensible Threat Mamagement」)シリーズに、サンドボックス技術を活用した標的型攻撃対策機能「WatchGuard APT Blocker」を追加する。
ウォッチガード・テクノロジー・ジャパン(ウォッチガード)は2014年4月24日、UTM/次世代ファイアウォールアプライアンス「eXtensible Threat Mamagement」(XTM)シリーズに、サンドボックス技術を活用した標的型攻撃対策機能「WatchGuard APT Blocker」(APT Blocker)を追加することを発表した。5月15日から出荷を開始する専用OS「Fireware OS 11.9」から実装する。
XTMシリーズは、アプリケーション制御の他、ゲートウェイアンチウイルス、アンチスパム、URLフィルタリングや不正侵入防御(IPS)といった複数のセキュリティ機能を1台に統合したセキュリティアプライアンスだ。APT Blockerはこれに新たに追加されるオプション機能という位置付けで、シグネチャに基づくアンチウイルス機能では白か黒かの判断が付け難い疑わしいファイルを解析し、高度なマルウェアを検出する。
同社マーケティングマネージャ 堀江徹氏は、「今や、国家や公的機関、大手企業だけでなく、中堅中小企業もターゲットにした標的型攻撃が増加している」と述べ、十分な予算や技術者を確保できない中小企業においても、高度な攻撃への対策が求められる時期に来ていると指摘。オールインワンアプライアンスに標的型攻撃対策を追加することにより、多層防御を実現すると述べた。
APT Blockerは、ウォッチガードのパートナーである米ラストラインが開発した。汎用のハイパーバイザーではなく、独自開発の仮想化プラットフォーム上で疑わしいファイルを動作させ、その挙動を解析する。このとき、OSはもちろん、メモリやCPUまで仮想化する「フルシステムエミュレーション」を行うことが特徴だ。
これにより、「従来型のサンドボックスで可視化できていたシステムコールのみならず、CPUに対する命令のレベルまで分析可能なことが特徴」(ウォッチガード・テクノロジー・ジャパン シニアセールスエンジニア 正岡剛氏)。最近の標的型攻撃では、サンドボックスで解析されることを見越して、スリープやループ処理などを組み込み、検査をすり抜けようとするマルウェアが使われることもあるが、「APT Blockerでは仮想メモリや仮想CPUも含めて再現するので、マルウェアによるこうした回避的行動も検知できる」(正岡氏)という。
こうして検出したマルウェアは、レポート機能「WatchGuard Dimension」上で確認でき、URLフィルタリングなど他の防御機能のポリシーに反映することで、効果的な対策につなげることが可能。また、マルウェアの情報はラストラインが運用しているクラウド基盤にも伝えられ、より迅速な対応を支援するという。
Fireware OS 11.9では他に、アプリケーショントラフィック管理機能の向上や監査/変更履歴の可視化機能の拡張などが図られている。XTMシリーズの価格は、50〜60ユーザー規模を対象とした「XTM 3シリーズ」が48万2000円から、既存のアプライアンスにAPT Blockerを追加する場合のライセンス価格は年額5万円程度という。
Copyright © ITmedia, Inc. All Rights Reserved.