多層解析で未知のマルウェアを排除――マカフィーが対策新製品

[國谷武史，ITmedia]

多層解析で未知のマルウェアを排除、修復までも対応するマカフィーの新対策

マカフィーは、複数の解析手法で未知のマルウェアを検知し、感染の抑止や万一の被害には修復まで対応する「Advanced Threat Defense」を発表した。

　マカフィーは10月31日、未知のマルウェアによる脅威の検出から感染被害などの修復までを行えるセキュリティアプライアンスの新製品「McAfee Advanced Threat Defense（ATD）」を国内で発表した。11月20日に出荷を開始する。

McAfee Advanced Threat Defenseアプライアンス（写真は1UのATD-3000）

　新製品は「検出」「被害抑止」「修復」の3つの特徴を持つという。検出ではWebやメールなどからLANに侵入する不審なファイルに対し、ウイルス定義ファイルや同社の脅威情報基盤「GTI」の評価情報との照合、エミュレーションによるリアルタイム解析、サンドボックス環境で実行させることによる動的解析、ソースコードレベルでの静的解析などを行い、マルウェアであるかを調べる。

　検出段階で判明した情報は、すぐに同社のエンドポイントやネットワークのセキュリティ製品に反映され、それ以降の脅威の侵入を検知できるようにする（被害抑止）。また、既にマルウェアによる被害が疑われる場合の調査でATDを使って原因が判明した際には、その情報を活用して統合管理ツールの「ePolicy Orchestrator」から被害マシンの修復を行えるという。

ATDによるソリューションのイメージ

　製品発表したマーケティング本部 テクニカル・ソリューションズ・ディレクターのブルース・スネル氏によれば、ATDは特に企業や政府・自治体などを狙った標的型サイバー攻撃に使われる「高度なマルウェア」の検知に主眼を置いている。高度なマルウェアとは、定義ファイルに登録されていない新種（未知）や、既存の対策技術の有無を察知して回避する機能を備えたものなどを指す。

　同氏によると、既存の対策技術を回避する高度なマルウェアは、例えばサンドボックス解析による対策が導入されていることを察知すればその場では動作せず、解析ポイントを通過してから行動する。また、ファイル内部にマルウェアとして機能するためのコードを暗号化したり、幾重にも圧縮したりするなどして巧妙に隠し、対策製品による検出を逃れるようにしている。

　こうしたことから、ATDでは解析ポイントを多層的に設けることで「高度なマルウェア」の解析をほぼ可能にしているという。ただ、全ての解析処理を行うのではシステムへの負荷が高く、必要に応じて解析処理を加えていくというアプローチで、システムやネットワークへの影響を最小限にとどめている。

　「高度なマルウェアの検知ではサンドボックスを用いるソリューションが主流だが、サンドボックスのみではマルウェアに回避されてしまう恐れがあり、用意できるサンドボックス環境の種類にも限界がある。実績ある検知技術やグローバルで収集している情報などとサンドボックスをうまく組み合わせることが重要だ」（スネル氏）

ATDで解析したマルウェア情報のレポート例。「VM Detection」の表示にあるようにサンドボックスを回避するものは少なくないという

　今回発売されるアプライアンスは、1日あたりに解析できるファイル数が15万ファイルまでの「ATD-3000」と、25万ファイルまでの「ATD-6000」をラインアップする。販売価格は1214万9860円から。当面は同社製のセキュリティ製品とのみ連携するが、今後はサードパーティーの製品ともAPI経由で不審なファイルの転送や解析情報のやり取りを可能にする計画。また、ATDと連携して修復作業に要する時間を大幅に短縮する「McAfee Real Time」の提供も予定している（国内提供時期は未定）。