Tweet

レピュテーションで亜種を目立たせる

「亜種を作っても無駄」、シマンテックがSEP12で新機能

2011/03/23

　シマンテックは3月23日、2010年夏に販売予定の企業向けエンドポイントセキュリティ製品「Symantec Endpoint Protection 12」の技術説明会を行った。この新バージョンは、レピュテーション技術「Insight」の活用により、ダウンロードしたファイルに関する詳細な情報をユーザーに提供し、定義ファイルだけでは検出が困難なマルウェア亜種から保護する機能を搭載する。

　Symantec Endpoint Protectionは、アンチウイルス／アンチスパイウェアのほか、振る舞いベースのマルウェア検出、不正侵入検知などのセキュリティ対策を実現する、企業のエンドポイント向けセキュリティソフトだ。管理ツールと組み合わせ、一元的な管理／レポートが可能になっている。

　Symantec Endpoint Protectionはこれまでも、定義ファイルに基づく検出機能だけでなく、振る舞い検知など、未知のマルウェアに備える機能を搭載してはいる。だが、「ウイルスの数は爆発的に増えている。しかも最近は、標的を絞り込んで、アンチウイルスの網に引っかからないように亜種を作り替え、ターゲットごとに攻撃を変えていく」（同社プロダクトマーケティング部 リージョナルプロダクトマーケティングマネージャ 広瀬努氏）。定義ファイルをいくら作成しても、その検出を逃れる亜種が登場する「いたちごっこ」が続いている。

　Insightは、この構図を変えていくための技術だ。同社およびコンシューマー向け製品「Norton 360」ユーザーから情報を収集し、さまざまな実行ファイルの「名前」「ハッシュ」「ソース」「署名」などの情報を集約する。そして「そのファイルが登場してからどのくらい時間が経っているか」「そのファイルを実行したユーザーはどのくらいいるか」「電子署名はあるかないか」といった情報を蓄積する。対象は実行形式のファイルで、Microsoft OfficeやAdobe PDFなどのファイルは対象外だ。しかし、それらの脆弱性を突いて、ユーザーが知らないうちにダウンロードされる実行形式のマルウェアは検査できる。

　もしユーザーが、何らかのファイルをダウンロードしようとした際には、Insightの情報を参照し、「このファイルは2日前にリリースされたもので、電子署名もありません」といった情報を表示する。これを基にユーザーが「怪しいから実行するのは控えよう」と判断を下せるようにする仕組みだ。万一ファイルを実行してしまった場合でも、振る舞い検知技術「SONAR」で疑わしい動作をストップさせ、多重防御を実現するという。

「Insight」を活用した警告の仕組み

　「出現してからの経過期間が短く、利用者数が少ない脅威は、レピュテーションが低く、目立つ。かといってファイルを改造させなければ、定義ファイルで検出できるようになる。『亜種を作っても無駄』とウイルス作成者の意図をくじき、抑止力にすることがInsightの狙い」（広瀬氏）。

　競合セキュリティベンダも、クラウドをベースにしたソリューションを提供している。「他社の場合、最新の定義ファイルをクラウド上に用意し、それを参照する形が多く、あくまで既知のシグネチャを活用するというものだ。これに対しInsightは、実行ファイルの分布数や生存期間などのレピュテーションを収集し、定義ファイルとは別の軸で評価するという意味で異なる」（広瀬氏）。

　シマンテックではInsightを、ユーザーに警告を表示する「ダウンロードアドバイザー（仮）」という形で直接的に活用するほか、フィードバックによる検知率の向上／誤検知率の低減、キャッシュとシマンテックのクラウド基盤を活用したパフォーマンスの向上といった部分でも実装していく計画だ。