Special
» 2021年06月29日 10時00分 公開

アンチウイルス製品では検知困難な「マルウェアフリー」の攻撃が増加 “ボディーガードのような守り”が防御の鍵に

[PR/ITmedia]
PR

 2020年、世界中で猛威を振るったマルウェアといえば「Emotet」だろう。なりすましメールを介して急激に拡大し、海外はもちろん国内でも複数の企業が被害に遭い、対応に追われた。

 21年1月には欧州刑事警察機構(EUROPOL)がEmotetの攻撃用サーバを制圧したと発表。攻撃は一段落した。しかし、今後も類似の攻撃やマルウェアには引き続き注意が必要だ。なぜなら、Emotetの拡大を通して攻撃者が「マルウェアフリー」という手法の効果を実感してしまったからだ。

 Emotetで採用されたマルウェアフリーという手法が恐ろしいのは、従来のアンチウイルス製品では検知できないような仕組みを持っている点にある。

 情報セキュリティ事業を手掛けるBlue Planet-worksの鴫原祐輔氏は「アンチウイルス製品が安全だと認識している機能やツール、検査対象に含まない形式のファイルを悪用する手口が増えています」と警鐘を鳴らす。

既存のアンチウイルス製品ではほとんど検出できない「マルウェアフリー」

photo Blue Planet-worksの鴫原祐輔氏(プロダクト&テクニカルサービス本部セキュリティアドバイザー)

 一般的なマルウェアは、問題を起こすためのソフトウェアをPCなどに忍び込ませて攻撃を始めるのが定石だ。既存のアンチウイルス製品は指名手配犯を探す警察官のように、ソフトウェアを捕まえ、過去に問題になったマルウェアの特徴と照らし合わせて悪意あるものを検出・駆除していた。

 ところが最近のマルウェアは構造が変化していると鴫原氏は指摘する。

 「環境寄生型攻撃では100種類以上あるWindows標準のシステムツールを悪用します。ファイルレス攻撃は本体となる実行ファイルなどを持たないことでアンチウイルス製品の検知をかいくぐります」(鴫原氏)

 これらの攻撃手法はまとめて「マルウェアフリー」と呼ばれる。米情報セキュリティ企業の調査によると、こうした攻撃は19年の時点でサイバー攻撃全体の51%を占めるまでになった。

 マルウェアフリーの手法を使ったマルウェアを既存のアンチウイルス製品で検出するのは困難を極める。鴫原氏が20年10月に採取したEmotetの検体10種類を主要なアンチウイルス製品で試したところ、ほとんど検知できなかったという。

photo サイバー攻撃の約半数がマルウェアフリー

 もう一つ、既存の対策の有効性を損なっているのが難読化技術の横行だ。近年のアンチウイルス製品の中には、振る舞い検知やAIといった新たな技術を活用して、未知のマルウェアでも検知できるよう精度を向上させているものもある。一方、犯罪者側はそれを見越してソフトウェアの解析を妨げる処理を加えて検知をすり抜けようとしている。

 情報セキュリティ分野の国際会議「Network and Distributed System Security Symposium」では、新技術を搭載した最近のアンチウイルス製品でも難読化されたマルウェアの約2割を見逃してしまうという報告も上がっている。

理想は“ボディーガード”のような守り方

 こうした背景から情報セキュリティの分野では「アンチウイルス製品に頼る守り方はもう古い」という声もある。中には、侵入されることを前提に、従業員が使う端末を監視して不審な動きがあれば通知するEDR(Endpoint Detection and Response)の導入に力を入れている企業もあるだろう。

 だがそれも、攻撃を受けた際に業務を途切れさせないのが最善と考えると十分な対策とは言い切れないと鴫原氏は主張する。

 「EDRは基本的に攻撃中や攻撃後の対処を担うツールです。警察の鑑識と同じで、攻撃された痕跡を基に攻撃や脅威を可視化して適切な対処をしていく。攻撃されないよう守るわけではないため、結果として攻撃で影響を受けた場合は業務を止めざるを得ません」(鴫原氏)

 またEDRは過去の攻撃データを基に検知を行っている。環境寄生型攻撃のように正常な操作と見分けがつかないような手法を攻撃と認識するのは難しく、専門家による個別のログ解析が必要になるという課題もある。

 Blue Planet-worksはこうした実情を踏まえ、マルウェアフリーのような手口が横行している今だからこそ事後対応のみにフォーカスするのではなく、あらためて未然の防止に力を入れるべきだと提唱する。

 サイバー攻撃への対策方法としてNIST(米国立標準技術研究所)は、特定、防御、検知、対応、復旧という5つのプロセスに基づいた環境整備を推奨している。このうち、防御を目的とする情報セキュリティ製品は日々研究を重ねて新しい防御手法を生み出している。しかしそのたびに攻撃者はそれを乗り越えるといったいたちごっこが繰り返されてきた。

photo

 このループを抜け出すためには守り方の概念そのものを変えていく必要がある。鴫原氏はボディーガードのような守り方を特徴とする「プリベンション型セキュリティ」による、攻撃を成立させないための対策が重要だと語る。

 「既存の検知型アンチウイルス製品が、指名手配書を基に悪者を見つけようとする警察だとすれば、プリベンション型セキュリティはボディーガードやSPに近いものといえます。例えば大統領を警護しているSPは、相手がブラックリストにない善良な市民でもナイフを手に襲い掛かってくるなら容赦なく制圧して無力化します。実行主体が何者かは関係なく、保護対象に対して害を成すのかどうかを見ています」(鴫原氏)。

 明らかに悪意を持って作られたマルウェアはもちろん、OS標準の無害なツールでも、問題のある挙動を示せば全てストップすることで、マルウェアフリーの手法を採用した攻撃でも止められる。端末内で動作するあらゆるプログラムを信用せず、害を成す動作を成立させないよう制御するのがプリベンション型セキュリティの考え方の基礎にある。

プリベンション型セキュリティは業務の継続性を担保する新しい仕組み

photo Blue Planet-worksの坂尻浩孝CPO

 Blue Planet-worksが取り扱う「AppGuard」もプリベンション型セキュリティ製品の一つだ。マルウェアを見つけて対処するのではなく、PC内で起きる不正な動きを阻止する方法で情報を守る仕組みで、未知のマルウェアでも脅威として対処できる。

 エンドポイントセキュリティとして導入を考える企業からはEDRと比較されることも多いという。しかし、EDRはEndpoint Detection and Response(エンドポイントの検知と対応)という名の通り、検知と対応を担う製品で、防止を担うAppGuardとは役割が異なる。

 Blue Planet-worksの坂尻浩孝氏によると、プリベンション型セキュリティは調査会社などが発表しているエンドポイントセキュリティ製品の分類表にもまだほとんど登場していないジャンルだという。既存製品と考え方が異なる仕組みのため、AppGuardには他のエンドポイント製品とも共存できるという特徴がある。

 「お客さまからすれば、エンドポイントセキュリティ製品の入れ替えは手間がかかるためできれば避けたいものです。今まで使ってきた製品を活用しつつ、未知のマルウェア対策として追加することで、より安全性の高い環境を実現できます」(鴫原氏)

 実際に既存のアンチウイルス製品とAppGuardを同時に利用している企業もある。リスクの高い部署から段階的に導入していくケースも多い。例えば、IR情報や知的財産などを扱う部署から段階的に導入していけば、コストも工数もかからない。

 特にニーズが高いのは企業の情報システム部門や「お客さま相談センター」だ。「窓口に寄せられる問い合わせの中には、調査のために怪しいリンクや添付ファイルを開かないといけないものもあります。AppGuardを導入すれば『どうぞリンクをクリックしてください、ファイルも開いてください。不正な動きがあれば止められるので』と言えるようになります」(鴫原氏)

 Blue Planet-worksでは今後、AppGuardの防御力を最も効果的に導入・運用できる機能を追加して運用性を改善し続けるとともに、仮想環境やサーバへの展開などAppGuardの適用範囲を広げていく計画だ。「基本的にプリベンション型セキュリティや防御に主眼を置く考えはこの先もずっと変わりません」(坂尻氏)。

「プリベンションでセキュリティに悩まない世界を」

 ペーパーレス化やIoT機器の普及など、デジタルトランスフォーメーション(DX)が進めば、今まで以上にデータやITシステムの重要性が増していく。万が一にでもシステムが破壊されれば事業に大きなインパクトをもたらす恐れがあることに経営者も気付き始めている。 Emotetは攻撃者にマルウェアフリーの有効性を知らしめたと同時に、経営者に情報セキュリティの重要性も実感させた。

 「Emotet騒動をきっかけに国内でもサイバー攻撃の恐ろしさが身近なものとなり、国内外で多発するマルウェアの被害を目の当たりにすることで、経営者もサイバー攻撃を受ければ業務を維持できなくなると分かってきました」(鴫原氏)。相応のコストを投じてでも、ビジネスを守れ、事業を続けられる製品を選択したいニーズが高まっているという。

 「PCやサーバに限らず、IoT機器などネットワークにつながるもの全てがプリベンション型セキュリティの仕組みによって守られる世界が必要とされていくでしょう。その仕組みを日本から発信し、セキュリティで悩まない世界を作っていきます」(坂尻氏)

photo

スマートフォンでアンケートがうまく表示されない方はこちらから

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社Blue Planet-works
アイティメディア営業企画/制作:ITmedia NEWS編集部/掲載内容有効期限:2021年7月5日