第7回情報セキュリティEXPOレポート
ポストGumblar時代のエンドポイント保護は?
高橋 睦美
@IT編集部
2010/5/27
5月12日から14日にかけて、東京ビッグサイトで「情報セキュリティEXPO」が開催された。
2009年以降急速にクローズアップされている脅威がGumblarだ。Gumblar対策が難しいのは、いくつかの亜種が確認されており、攻撃手法も常に進化していることだ。当初言われた「FTPを使わなければ大丈夫」といった単純な対策で安心しているわけにはいかない。また、Gumblarは感染プロセスの一環として、既存のWebサイトを改ざんして目に見えない攻撃用のコードを埋め込むことが多いが、その結果、「危ないサイトには近寄らない」というだけでは対策が困難になった。
情報セキュリティEXPOの展示会場ではこういった背景からか、エンドポイントの保護を目的としたセキュリティ製品に、改めて注目が集まっていたようだ。また同時に、仮想化やそれを活用したクラウドコンピューティングというテーマも耳目を集めていた。
| 【関連記事】 新春早々の「Gumblar一問一答」 http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/022.html 実はBlasterやNetsky並み? 静かにはびこるGumblar http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/021.html |
ゼロデイアタックに対応、FFR
 |
| FFR 代表取締役社長 鵜飼裕司氏。「小回りがきかないというハードウェアDEPの課題も解決した」という |
フォティーンフォティ技術研究所(FFR)は、未知のウイルスへの対策に特化した「FFR yarai 脆弱性攻撃防御機能」をAITのブースで紹介した。同社は、パターンファイルに頼らず、ゼロデイ保護や振る舞い検知といったエンジンによってマルウェアを検出するウイルス対策ソフト「FFR yarai」を提供している。FFR yarai 脆弱性攻撃防御機能は、FFR yaraiの「0-Day保護エンジン」(ZDP)を単体の製品として抜き出したものだ。ゼロデイ攻撃に対策したいが、すでにウイルス対策製品は導入しており二重投資は避けたいというユーザー向けに、機能を切り出して提供する。
FFR yarai 脆弱性攻撃防御機能はプログラムの動作を監視し、不審なシステムコールの呼び出しなど、バッファオーバーフローの脆弱性を悪用しようとする動きを検知するとそれをストップさせる。Windows XP SP2以降に実装された、プロセッサと連動してウイルスなどの動作を制限するDEP(Data Execute Prevention)を、ソフトウェアで実装したものとも表現できる。Gumblarをはじめ、既知、未知を問わず脆弱性を狙うマルウェアの活動をほぼ完全に検出できることが特徴だ。
同社代表取締役社長の鵜飼裕司氏によると、マルウェアは年々洗練の度を高めている。「Return-to-Libc攻撃」に代表される、ハードウェアDEPをバイパスしようとする仕組みも登場してきた。FFRでは継続的にそうした手法をリサーチし、検出する仕組みを実装しているという。
FFR yarai 脆弱性攻撃防御機能は、未知の脆弱性を突く攻撃への対処としてだけでなく、アプリケーション互換性などの問題からすぐにはセキュリティパッチを適用できない環境での対策としても有効だ。FFR yarai 脆弱性攻撃防御機能によって攻撃を食い止めている間に検証作業などを進め、自社のペースでパッチ適用作業を行うことで、保護とコスト削減を両立できるという。
| 【関連記事】
FFR、「yarai」シリーズにゼロデイ攻撃対策製品を追加 http://www.atmarkit.co.jp/news/201005/10/yaraizdp.html この脆弱性対策エンジンは“永遠に完成しない” http://www.atmarkit.co.jp/fsecurity/rensai/yarai03/yarai01.html |
サンドボックスはじめ多層的な防御を強化、カスペルスキー
カスペルスキーラブスジャパンは、SOHOや中小企業を対象とした「Kaspersky Small Office Security」を紹介した。クライアントPC向けのセキュリティソフトとファイルサーバ向けの製品をパッケージ化したものだ。
同社によると、規模の小さな企業であってもクライアント側ではセキュリティ対策がなされていることが多い。その一方で、取引や業務委託の関係で重要な情報が格納されているはずのサーバの対策率は50%程度にとどまるという。「ファイルサーバは会社の冷蔵庫と同じ。いろいろなものが保存されているけれど、きちんと管理されていない」(同社)。保護する手段を、導入しやすいパッケージの形で提供する。
主力の統合セキュリティ対策製品「Kaspersky Internet Security 2010」でも、未知のマルウェアに対する検出機能の強化を図っている。従来からのパターンファイルに基づく検出に加え、カスペルスキーセキュリティネットワーク(KSN)と連動する緊急検知システム(UDS)を追加した。KSNでは、全世界にめぐらせたネットワークを通じて新種のウイルスや不審なWebサイトに関する情報を収集している。その情報をリアルタイムに反映することで、登場したてのマルウェアに迅速に対処できるようにした。またマルウェアがその網をすり抜けても、振る舞いを監視して信頼レベルを判定する「アプリケーションコントロール」や「ヒューリスティック検知」によってブロックする。
 |
| Kaspersky Internet Security 2010のデモンストレーション。次期バージョンのトライアルも開始されているという |
それらもなおすり抜けてしまった場合に備えた機能が、「仮想実行スペース」、いわゆるサンドボックスだ。ダウンロードしたアプリケーションを仮想スペースで実行することにより、感染や情報流出といった実害が及ばないようにする仕組みだ。カスペルスキーでは単一のアプローチではなく、こうした多層的な防御によってシステムを保護していくとしている。
なお現在、Kaspersky Internet Security 2011のトライアルが行われているという。新バージョンではサンドボックス機能をさらに強化し、ブラウザの作業スペースをまるまる仮想環境上に作ることによって、安全なブラウジングを可能にする予定だ。またジオロケーション情報(地理的情報)を組み合わせ、普段めったにやり取りしないような国や地域のIPアドレスと通信を行おうとすると警告する機能も実装される計画という。
ドイツ生まれのセキュリティソフト、G Data
ドイツに本拠を置くセキュリティ企業、G Data Softwareは情報セキュリティEXPOに合わせて、企業向けのセキュリティ対策製品「G Data AntiVirus Business ver.10.5」と「G Data ClientSecurity Business ver 10.5」を発表した。前者はウイルス対策に特化した製品で、後者はそれにパーソナルファイアウォールとアンチスパム機能を追加した、統合セキュリティ製品だ。
G Data Software製品の特徴は高い検出率。2種類のウイルス検出エンジンを搭載しており、振る舞い(ビヘイビア)分析などを組み合わせてマルウェアを検出する。同時に「ホワイトリスト」にシステムファイルや主要なアプリケーションを登録しておくことにより、スキャンの高速化を図っているという。
 |
| G Data Softwareのデモンストレーション |
新バージョンでは、新種のウイルスを迅速に見つけ出す目的で「アウトブレークシールド」を追加した。同社では世界中にハニーポット(おとりサーバ)を設置している。世界のあちこちで同時に不審なプログラムを検出したらマルウェアと判断し、迅速にパターンファイルを提供する仕組みだ。また、近年まん延を広げるUSBメモリ経由のウイルスにも対応した。
国内ではグローバルワイズを通して販売する。価格はG Data AntiVirus Business ver.10.5が5500円から(4〜9ライセンス)、G Data ClientSecurity Business ver 10.5は5900円から(同)。
きめ細かな機能を追加したLanScope Cat6
エムオーテックスでは、クライアントPCのセキュリティおよび資産管理を一元的に行うソフトウェア「LanScope Cat6」を紹介した。
LanScope Cat6は、クライアントPCでの操作ログを収集し、どのユーザーがどんな操作を行ったかを把握することで、情報漏えいに備えるセキュリティソフトだ。加えて、アプリケーションの制御やデバイス監視、セキュリティパッチをはじめとするファイルの配布といった機能も備えている。一連の情報はWebコンソールに集約され、どの部署でポリシー違反が多いかといったトレンドを一目で把握できることが特徴だ。
最新版では、BIOS画面やブルースクリーン状態のPCを遠隔操作できるハードウェアリモコン機能が追加された。また、PCだけでなく、ハブやルータ、プリンタといった周辺機器についても一元管理を行えるようになり、「LanScope Cat6と別の資産管理用ソフトウェアを並行して運用する必要がなくなった」(同社)という。
 |
| エムオーテックスブースにおけるLanScope Cat6のプレゼンテーション |
ほかにもいくつか、きめ細かな機能が追加されている。例えばファイル配布機能の強化では、Microsoft Officeのようなパッケージソフトウェアだけでなく、フリーウェアなどの配布が可能になった。またUSBメモリのコントロール機能では、単純に端末ごとに使用をコントロールするだけでなく、USBメモリのシリアル番号に基づいて書き込みなどの操作を制限できるという。
1/2 |
 |
| Index | |
| ポストGumblar時代のエンドポイント保護は? | |
 |
Page1 ゼロデイアタックに対応、FFR サンドボックスはじめ多層的な防御を強化、カスペルスキー ドイツ生まれのセキュリティソフト、G Data きめ細かな機能を追加したLanScope Cat6 |
| Page2 アプリレベルで制御するファイアウォール、マカフィー 仮想化環境の保護に取り組むマクニカ クラウドサービスと提供者を見極める目を――ラック西本氏 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
