次世代「Norton」を強化する「SONAR 4」の新機能進化するビヘイビア技術(2/2 ページ)

» 2011年07月29日 16時51分 公開
[小林哲雄,ITmedia]
前のページへ 1|2       

新機能2、「ポリシーロックダウン」

バッファオーバーフロー攻撃は古典的ながら根絶が難しい。ぜい弱性があってもアプリケーションやシステムDLLを簡単に削除するわけにはいかないからだ

 新機能の2番目はビヘイビアに基づくポリシーロックダウン(機能制限)だ。これによって有用なプロセス(本来問題のないプログラムにぜい弱性があったり、有用なDLLに寄生するマルウェアソフト)に対して、プログラムの削除・検疫をせず、機能の一部を止めることで対処する。

 例えば、Adobe ReaderやMS Office、一太郎などの一般的なアプリケーションに、特定のデータを読ませることでぜい弱性を引き出すシチュエーションを考えてみよう。最近、一太郎にバッファオーバーフローのぜい弱性が発見されたが、こうしたぜい弱性がある場合、細工を施したデータのファイルを開かせることで、任意のプログラムを実行してしまう可能性がある。このときSONARは、異常動作の原因はデータに埋め込まれているもかかわらず、アプリケーションそのものの問題として判断してしまう。

 しかし、このようなアプリケーションソフトやOS必須のDLLに寄生しているマルウェアを削除・検疫するのはやや問題がある(OS必須のDLLを削除すると、起動すらできなくなる可能性がある)。そこでSONAR 4では、アプリケーションの一部の動作を阻止することで、被害を最小限に抑えることができるようになった。ふるまいベースの判断なので、未知の問題点、いわゆるゼロデイ攻撃にも有用に働くとしており、ユーザーにはポップアップで警告するという。

新機能3、「不正DLLのふるまい検知」

SONAR 4では不正DLLのふるまい検知が可能になった。「今までダメだったんです」と告白されてリアクションに困ったというのが正直なところではある

 もう1つ、SONAR 4ではDLLで動作するマルウェアの検知も可能になったという。従来のSONARはプロセス単位でマルウェアかどうかを判断していたため、こうしたケースには対応できなかった。例えば、IEのBHO(Browser Helper Object)としてマルウェアが埋め込まれた場合、SONAR 3までは検知できなかったが、SONAR 4ではこのようなDLLのふるまいの検知ができるようになっている。

 最後に、ビヘイビア技術で問題となる誤検知についても触れておこう。ビヘイビア技術は未知のマルウェアも発見できる半面、誤検知(偽陽性)も無視できない。初代SONARのプレスリリースでは、偽陽性が0.0004%とうたってはいるが、現実問題としてビヘイビアの誤検知が問題になるケースもある。

 また、コンシューマー向けのNorton製品はともかく、企業向けエンドポイントセキュリティ製品「Symantec Endpoint Protection」では、最新版(SEP12)になってSONARとInsightが組み込まれた。となると、社内利用のソフトウェアでSONARが偽陽性を出す可能性も考えられる。ということで「SONAR 4は過去のバージョンと比較して偽陽性に対してどれだけ改善されたのか」を聞いてみた。

 これに対してペレイラ氏は、「SONARの偽陽性検知に関しては当時と状況が違うので単純比較はできない」と直接の回答を避けた一方で、「SEP12に関しては(仮に業務アプリケーションがSONARに反応しても)企業内管理者がホワイトリスト化することでチェックを逃れることができる」と説明。企業管理者なら対処可能であり、さらに「Level3のコード署名があれば、Symantec側でも対処可能」と、ソフトウェア企業に関しては偽陽性に対応可能であると回答してくれた(ちなみに、NIS2012のSONARの設定は「常時/確実性が高い場合のみ/確認」と、以前の「オン/オフ」から設定範囲が広がっている)。以前のように、SONARを有効にするとあやしい挙動をするプログラムが問答無用で検疫されてしまうわけではなさそうだ。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

アクセストップ10

2024年03月28日 更新
  1. Synology「BeeStation」は、“NASに興味があるけど未導入”な人に勧めたい 買い切り型で自分だけの4TBクラウドストレージを簡単に構築できる (2024年03月27日)
  2. 「ThinkPad」2024年モデルは何が変わった? 見どころをチェック! (2024年03月26日)
  3. ダイソーで330円の「手になじむワイヤレスマウス」を試す 名前通りの持ちやすさは“お値段以上”だが難点も (2024年03月27日)
  4. ミリ波レーダーで高度な検知を実現する「スマート人感センサーFP2」を試す 室内の転倒検出や睡眠モニターも実現 (2024年03月28日)
  5. ダイソーで550円で売っている「充電式ワイヤレスマウス」が意外と優秀 平たいボディーは携帯性抜群! (2024年03月25日)
  6. 次期永続ライセンス版の「Microsoft Office 2024」が2024年後半提供開始/macOS Sonoma 14.4のアップグレードでJavaがクラッシュ (2024年03月24日)
  7. 2025年までに「AI PC」を1億台普及させる――Intelが普及に向けた開発者支援をアップデート ASUS NUC 14 Proベースの「開発者キット」を用意 (2024年03月27日)
  8. いろいろ使えるFireタブレットが最大7000円オフ! Echo Budsは半額以下で買える! (2024年03月26日)
  9. 15.5万円の有機ELディスプレイ「MPG 271QRX QD-OLED」に指名買い続出 (2024年03月25日)
  10. サンワ、Windows Helloに対応したUSB Type-C指紋認証センサー (2024年03月27日)
最新トピックスPR

過去記事カレンダー