EDRが物理セキュリティにおける“監視カメラ”のような役割だとしたら、この階層は“セキュリティゲート”のようなもの。信頼されていないアクセスをブロックすることが主な役割です。特にマクロ悪用対策については、2017年の夏ごろからVBAを悪用したマルウェア付きメールが出回っていることもあって、早急な対策が必要でしょう。Windows 10においては「Windows Defender Exploit guard」がこれに該当します。
ここに挙げた4つの機能のうち、上の2つについてはWindows 10 E3ライセンスでも使用できます。下の2つについては、E5ライセンスのみの提供となります。
昨今、既存のマルウェアから少しプログラムを変えた“亜種”が大量に出回っており、定義ファイルベースのアンチウイルスソフトでは、検知がままならないような状態に陥っています。
Windows Defender Cloud Protectionでは、端末上で「Windows Defender ウイルス対策」が判定を下せない場合、クラウド側にハッシュ情報を送り、ハッシュをブラックリストに乗せ、全世界で広まろうとしている亜種を10秒程度でブロックできます。これは例えると、世界中のマシンが協力して“職務質問”を行うようなイメージです。
この階層は、皆さんもよくご存じのアンチウイルスソフトの部分です。
Windows Defender ウイルス対策は、Machine Learning Model(ML:機械学習モデリング)によって、マルウェア判定をシグネチャベース以外の方法で行えます。具体的には、JavaScript、Visual Basicスクリプト、Officeマクロといった攻撃者がよく使うファイルタイプに特化したMLや、実行形式ファイル(exeやdll)などのMLを組み合わせて、検知する仕組みを実装しています。
実際のマルウェア(Emotet)を検出した事例も公開していますし、もし、皆さんが検知した検体があれば、Malware Protection Center(MMPC)に検体を提出いただければと思います。
Copyright © ITmedia, Inc. All Rights Reserved.