ニュース
» 2009年10月26日 10時30分 UPDATE

定義ファイルに依存しないマルウェアの検出技術、McAfeeの場合

新種マルウェアが激増する昨今、定義ファイルだけでは脅威を検出するのが難しいとして新たな検出技術が登場している。米McAfeeが導入を進めている新技術を説明した。

[國谷武史,ITmedia]

 1日に見つかる新種マルウェアの数がかつてないペースで激増していると、セキュリティ企業各社は口を揃えて説明する。従来の定義ファイルによる検出では無数の新しい脅威に対処するのが難しく、各社は迅速に検出するための新技術の開発、実用化に注力している。このほど来日した米McAfeeシステムセキュリティ事業部門プロダクトマネジメント担当副社長のキャンディス・ウォーリー氏が、同社が導入を進めている新技術について解説した。

mcafee01.jpg キャンディス・ウォーリー氏

―― 各社が導入を推進する新技術の一つにオンライン経由で不審なデータの危険度を照会する「レピュテーション」技術がありますが、McAfeeでの取り組みはいかがでしょうか。

ウォーリー 「Artemis」の名称で2008年から企業および個人に提供しています。Artemisでは、ユーザーから提供される脅威情報をデータベース化し、ほかのユーザーが不審なファイルに関する脅威情報がデータベースに登録されているかどうかをオンライン経由で照会することにより、そのファイルの危険度が分かる仕組みです。

 当社にはPCやサーバなどのエンドポイントだけでも約5800万のユーザーが世界にいますが、このうち約3000万ユーザーがArtemisのネットワークに参加しており、日々新しい脅威の情報を提供しています。

―― Artemisを実用化するに至った背景は何でしょうか。

ウォーリー 新規に見つかる不正プログラムが激増しており、もはや定義ファイルのみでは対処できないという状況になったからです。例えば、研究部門に提供される不正プログラムのサンプル数は2008年だけで約150万種にもなります。

 もはや、従来のように個々の不正プログラムを分析して定義ファイルを提供するだけでは時間的にも対応が遅れてしまい、ユーザーを保護するのが困難になったというのが実情です。Artemisの構想は2〜3年ほど前からあり、2007年に研究リソースを集中投下して実現させました。

―― 多くの企業ユーザーは、ベンダーから提供された定義ファイルを一度管理サーバに蓄積して従業員に配信する仕組みを利用しています。新技術が企業ユーザーのシステム運用に与える影響はいかがでしょうか。

ウォーリー 既存の仕組みを大きく変えるということではなく、また、システムに負荷を与えるものではありません。検証テストに参加した企業は、多数のクライアントがオンラインで脅威情報を照会することによるネットワーク負荷の増大や、誤検知の増加を心配していました。しかし、テスト結果から負担はごくわずかであり、むしろ未知の脅威への対策が強化できる点を評価してくれました。

 オンラインへの照会頻度は従業員1人当たり1日に3回程度で、通信時間は0.15秒ほどでしかありません。ユーザーにフィードバックするまでは、脅威が新しいほど時間がややかかってしまいますが、一定以上の評価ができたものは迅速に対応しています。

 Artemisでは検出レベルを5段階に設定でき、最低レベルでの誤検知率は定義ファイルを利用した場合とほぼ同水準です。レベルを上げれば少しでも不審なファイルを検出するようになるため、ユーザーによって誤検知率が増えると思います。ユーザー多くは、最低レベルもしくは下から2番目のレベルを通常時に運用しているようです。

 管理面では、統合管理ツールのePolicy Orchestrator(ePO)に一元化しており、対策状況は1つのコンソールで調整できます。Artemisでは感染被害があった場合に、検出レベルを一時的に高めて潜在している脅威を洗い出し、対処にめどがつけば通常レベルに戻すといった機動的な対応が取れるのも特徴です。

―― Artemis以外に取り組んでいる検出技術はありますか。

ウォーリー 現在、ホワイトリストを用いた対策技術の統合を進めています。この技術は6月に買収したSolidcore Systemsの技術で、信頼できる正規アプリケーションの情報をホワイトリスト化し、リストに基づいて通信やプログラムの実行を保護します。

 定義ファイルやArtemisなどの技術は、不正プログラムに注目するという点でブラックリスト型の対策になりますが、正しい実行環境に注目するホワイトリストを併用すれば、ユーザーをより確実に保護できるでしょう。年内にはePOでも管理できるようになる見込みです。

―― 将来的に定義ファイルでの検出はなくなるのでしょうか。

ウォーリー 完全に無くなることはありません。定義ファイルによる検出は最も確立された技術で信頼性があり、ユーザーも残してほしいと要望しています。しかし、現在のような脅威の状況はますます激化していくと思われ、そのために新技術を導入しています。結果的に定義ファイルに依存する割合は小さくなっていくでしょう。

企業向け情報サイト「ITmedia エンタープライズ」へ

過去のセキュリティニュース一覧はこちら

関連ホワイトペーパー

マルウェア | レピュテーション


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -