STAR マルウェア対策技術

概要

セキュリティテクノロジおよびレスポンス(STAR)は、シマンテックのセキュリティ技術のイノベーションと開発を担当する部門です。ファイル、ネットワーク、ふるまい、レピュテーション、修復という 5 つの観点からの保護に取り組んでいます。

セキュリティテクノロジおよびレスポンス(STAR)部門は、シマンテックの社内でマルウェアやセキュリティ技術にかかわる研究開発を統括しています。ここで開発された技術は、シマンテックが提供する企業向けと個人向けのセキュリティ製品で保護機能の中核となっています。

セキュリティテクノロジおよびレスポンス(STAR)部門内には、セキュリティレスポンスチームが設置されています。このチームを構成するのは、全世界のセキュリティエンジニア、脅威アナリスト、研究者です。シマンテックの企業向けと個人向けのセキュリティ製品すべてについて、対応する基本機能コンテンツとサポートを提供しています。STAR のセキュリティレスポンスセンターは世界各地に設置され、インターネット上で 1 億 3,000 万を超えるシステムから得られる悪質なコードのレポートを監視しています。また、200 カ国以上に設置された 240,000 台のネットワークセンサからデータを取得し、8,000 社を超えるベンダーが持つ 55,000 種類以上の技術に影響を及ぼす脆弱性を 25,000 種類以上にわたり追跡しています。セキュリティレスポンスチームは、そのように広範なインテリジェンスを駆使して、世界でも高度に包括的なセキュリティ保護機能の開発と提供を行っています。STAR には、約 550 名が所属しています。

数年前までは、従来型のウイルス対策技術さえ備えていれば、エンドポイントを攻撃から保護することができました。ところが、脅威の動向はこの数年で大きな変化を遂げました。ウイルス対策ベースの技術だけでは、もはや通用しない時代になったのです。STAR ではこの状況に対応し、お客様を悪質な攻撃から的確に保護するため、セキュリティ技術における協調したエコシステムを開発してきました。

これらの保護技術が対象とする主な脅威ベクトルは、次のものです。

  • ドライブバイダウンロードと Web 攻撃
  • ソーシャルエンジニアリング攻撃(偽のウイルス対策ソリューションや偽のコーデック)
  • ボットとボットネット
  • 非プロセス挿入型脅威(NPT)
  • Advanced Persistent Threat(APT)などの標的型攻撃、トロイの木馬、一般的なマルウェアやゼロデイ脅威
  • ドライブバイダウンロードにより、他の保護層をすり抜けて侵入してきたマルウェア
  • ルートキット技術で自身の存在を隠すマルウェア

このエコシステムでは、次に示す 5 つの分野の技術が連携しています。

  • ファイルベースの保護: 静的ヒューリスティックの新技術を活用して、引き続き保護対策の中心となります。
  • ネットワークベースの保護: 既知または未知の脆弱性が悪用されてユーザーシステムへの侵入が発生したときに検出します。
  • ふるまいベースの保護: 悪質な活動について、静的な特徴ではなく動的な挙動をチェックします。
  • レピュテーションベースの保護: ファイルのメタ情報(古さ、作成元、転送方法、所在など)を検証します。
  • 修復: 感染したシステムのクリーンアップをサポートする一連の技術です。

これらの技術が連携して、個々の状況で悪意が認められるかの判断を、効率的かつ効果的に行います。それぞれの技術はプロセスやファイルについて異なる属性を分析して、その結果を相互に共有します。たとえば、ネットワークベースの保護技術は、Web でダウンロードされたファイルの作成元を追跡して、その情報を他の技術と共有できます。

それぞれの技術について詳しくは、該当するタブからご覧いただけます。

ファイルベースの保護

ウイルス対策のファイルスキャナには、大きな誤解があるようです。ファイルが悪質かどうかの判断が、既知のパターンとの照合だけで行われるという誤解です。実際のところ、最新のウイルス対策ソリューションは、単なるパターン一致を超えた機能を備えています。ジェネリック技術やヒューリスティック技術を駆使して、脅威の検出にあたっているのです。事実、トップクラスのウイルス対策エンジンには複数の手法が採用されていて、既知の脅威も未知の脅威も特定できるようになっています。シマンテックのファイルベースの保護技術も、この方法をとっています。

ファイルベースのセキュリティは長年にわたり、シマンテックの保護技術の基礎を支えてきました。STAR では、最新の脅威動向に後れをとらず対応できるように、ファイルベースのセキュリティへの投資と技術開発を続けています。感染したファイルを標的とするマシンに保持するというのは、脅威でよく利用される手口です。これにより、マシンを最初に攻撃した後も潜伏を続けてさらなる活動を狙うのです。そのため、マシンに存在する脅威の検出、無力化、駆除を行うにあたっては、ファイルベースの保護が常に有効となるのです。ファイルベースの保護技術で対応できる脅威ベクトルには、主に次のものがあります。

  • マルウェアとウイルス
  • Advanced Persistent Threat(APT)などの標的型攻撃、トロイの木馬、一般的なマルウェア
  • ソーシャルエンジニアリング攻撃(偽のウイルス対策ソリューションや偽のコーデック)
  • ボットとボットネット
  • ルートキット
  • 悪質な PDF と Microsoft Office 文書(PowerPoint、Excel、Word)
  • 悪質な圧縮ファイル
  • スパイウェアとアドウェア
  • キーロガー

シマンテックが提供しているファイルベースの保護技術は、こうした脅威に対処するものです。その中核となっているのは、ウイルス対策エンジン、Auto Protect、ERASER エンジン、ヒューリスティック技術である Malheur と Bloodhound という 4 つのコンポーネントです。

ウイルス対策エンジン

シマンテック独自のスキャンエンジンは、3 億 5,000 万台を超える広範なマシンに導入されています。安定した高パフォーマンスのセキュリティ技術が、最新の脅威に対して高度な検出機能を発揮します。このエンジンは LiveUpdate を経由して現場で頻繁にアップデートされるため、新たな脅威にも後れをとらず対応できます。これにより、製品をまるごとアップデートする必要なく、検出機能だけをアップデートできるのです。

Auto Protect

シマンテックのリアルタイムファイルスキャナは、ファイルシステムに対して行われる、またはそこから行われる脅威の書き込みを検出します。Auto Protect は、カーネルレベルに組み込まれた高パフォーマンスかつ省スペースのスキャンエンジンです。ユーザーに存在を意識させることなく、最新の脅威に対する保護を提供します。ファイルがディスクに書き込まれる際に起動し、ウイルス対策エンジンの Malheur と Bloodhound を使用してファイルをスキャンします。ハードウェアに近いレベルで作動するため、感染したファイルが実行されてシステムを感染させる前に阻止できるのです。Auto Protect はファイルの保護に加えて、シマンテックの高度な分析評価技術の一環であるダウンロードインサイトでも主要な機能を担っています。

ERASER エンジン

ERASER エンジンは、シマンテックの多種多様な検出技術によってシステムで検出された脅威に対して、修復機能と駆除機能を提供します。さらに、システムの起動時に実行されるドライバやアプリケーションが悪質でないかを確認する機能も担います。シマンテックの製品でルートキットなどのマルウェアを見逃すことがないように、ERASER はシステムレジストリやディスクを対象とする通常の検索を超えた多彩なテクニックを駆使します。こうした技術によって、ERASER はレジストリやディスクへの直接アクセスを実現しているのです。

Malheur と Bloodhound

シマンテックはシグネチャベースの検出に加え、未知のファイルでも悪質なファイルと共通の特徴を持つ場合には悪質なファイルとして特定できる技術も提供しています。このようなヒューリスティックベースの保護を実現するのが、Malheur 技術と Bloodhound 技術です。ヒューリスティックシグネチャは、既知のマルウェアが持つファイル属性、脆弱性の悪用方法、そのほか共通する行動を基にして、未知のマルウェアを検出します。

機能の詳細

次の各セクションでは、前述の主要コンポーネントが備えるファイルベースの技術を詳しく見ていきます。

幅広い種類のファイルのサポート

圧縮ファイルや他のファイルに埋め込まれたファイルも含めて幅広い種類のファイルを検出できるので、隠れているマルウェアがないかを検証できます。分析対象となるファイルの一例を次に示します。

DOC, .DOT, .PPT, .PPS, .XLA, .XLS, .XLT, .WIZ, .SDW, .VOR, .VSS, .VST, .AC_, .ADP, .APR, .DB, .MSC, .MSI, .MTW, .OPT, .PUB, .SOU, .SPO, .VSD, .WPS, .MSG ZIP, .DOCX, .DOCM, .DOTX, .DOTM, .PPTX, .PPTM, .PPSX, .PPSM, .XLSX, .XLSB, .XLSM, .XLTX, .XLTM, .XLAM, .XPS, .POTX, .POTM, .ODT, .OTT, .STW, .SXW, .eml, .MME, .B64, .MPA, ,AMG, .ARJ, .CAB, .XSN, .GZ, .LHA, .SHS, .RAR, .RFT, .TAR, .DAT, .ACE, .PDF, .TXT, .HQX. .MBOZ, .UUE, .MB3, .AS, .BZ2, .ZIP, .ZIPX

圧縮解除エンジン

一部のマルウェアは「パッカー」というファイルの難読化技術を利用して、単純なパターン一致アルゴリズムによるマルウェア検出を回避しようとします。シマンテックの圧縮解除エンジンでは、これに対応するべく次のことが可能です。

  • 該当する実行可能ファイルを圧縮解除します。
  • 何百種類ものパッカーファミリーを認識します。
  • 何重にも圧縮されたファイルを、核となるマルウェアにたどり着くまで繰り返し圧縮解除します。

汎用仮想マシン(GVM)

GVM によって、サンドボックスによる安全な環境でコードを実行できるようになります。

  • Java や C# と同じくバイトコードベースのシステムなので、クラッシュやハングアップが発生することなく非常に安全な状態で、新しい保護技術を迅速に作成できます。
  • Trojan.Vundo のような脅威でも、複雑度の高いヒューリスティックとファミリーシグネチャを適用して検出します。
  • PDF、DOC、XLS、WMA、JPG など、従来型ではないファイル形式もすべてスキャンします。

ポリモーフィック対策エンジン

高度な CPU エミュレーション技術を用いて、ポリモーフィック型マルウェアが暗号化をやめるように仕向けます。

ルートキット対策技術

シマンテックでは、3 種類のルートキット対策技術を用意しています。これらにより、ルートキットによく使われるステルス技術に対処して、Tidserv や ZeroAccess といった非常に強力なルートキットでさえも検出して駆除する設計となっています。ここでは次のようなテクニックが使われます。

  • ハードドライブボリュームへの直接アクセス。レジストリハイブの直接スキャン。
  • カーネルメモリのスキャン。

トロイの木馬対策エンジン

高度なハッシング技術を用いて、何百万ものトロイの木馬やスパイウェアを検出するべく一瞬のうちに一斉スキャンを実施します。

  • マルウェアロジックを含むとされる主なファイル領域を特定して抽出します。
  • 各セクションの暗号化ハッシュを取得して、フィンガープリントデータベースで検索します。
  • 高度なアルゴリズムを使用するトロイの木馬対策エンジンが一斉スキャンを実施して、何千万ものマルウェア亜種を数マイクロ秒という短時間でチェックします。

フォトンエンジン

「ファジー」シグネチャを利用して、既知のマルウェア亜種および未知の新しいマルウェア亜種を検出します。

  • 何十万ものファジーシグネチャを同時に利用してファイルをスキャンすることで、スキャンのパフォーマンスが大幅に向上します。
  • このファジーシグネチャは、まったく新しいマルウェアの亜種でも、リリースされた瞬間に検出可能です。

高度ヒューリスティックエンジン

サーバー側のポリモーフィック型亜種に重点を置いて検出を行います。

  • 疑わしいファイル特性について、数十のヒューリスティック検索(さらに増加中)を実施します。
  • 疑わしいファイルはすべて、シマンテックの評価クラウドおよび電子署名信頼リストと関連付けが行われます。
  • ヒューリスティックの感度を調整するため、エンジンはコンテキストを使用します。たとえば、インストール済みのアプリケーションよりも、新しくダウンロードされたファイルのほうが疑わしいと判断されます。

ネットワーク

ネットワークベースの保護は、マルウェアが悪質な攻撃によってシステムに侵入する前にブロックする一連の技術です。ファイルベースの保護では、ファイルがユーザーのコンピュータ上に実際に作成されるのを待つ必要があります。これに対してネットワークベースの保護では、ユーザーのマシンがネットワーク接続から受信するデータストリームを分析して、システムへの攻撃が始まる前に脅威をブロックします。

シマンテックのネットワークベースの保護技術で対応できる脅威ベクトルには、主に次のものがあります。

  • ドライブバイダウンロードと Web 攻撃ツールキット
  • ソーシャルエンジニアリング攻撃(偽のウイルス対策ソリューションや偽のコーデック)
  • Facebook などのソーシャルメディア経由の攻撃
  • マルウェア、ルートキット、ボットに感染したシステムの検出
  • 難読化した脅威からの保護
  • ゼロデイ脅威
  • パッチ未適用のソフトウェアの脆弱性に対する保護
  • 悪質なドメインや IP アドレスからの保護

このカテゴリは、3 つの独自な保護技術から構成されます。

ネットワーク侵入防止システム(ネットワーク IPS)

プロトコル認識型 IPS が、200 種類を超えるプロトコルを認識してスキャンします。バイナリプロトコルとネットワークプロトコルをインテリジェントかつ正確に分離して、悪質なトラフィックの兆候をチェックします。このインテリジェンスにより、高い精度でネットワークスキャンを行いながら、堅牢な保護を実現できます。汎用悪用コードブロッキング(GEB)エンジンが中核となり、脆弱性を狙った攻撃の侵入を確実に阻止します。シマンテックの IPS 独自の特長として、ネットワーク IPS の保護機能は設定が不要で、導入後すぐに利用できる点が挙げられます。個人向けのノートン製品とシマンテックの Endpoint Protection(12.1 以降)では、この重要技術がデフォルトで有効となっています。

ブラウザ保護

この保護エンジンはブラウザに内蔵され、従来のウイルス対策やネットワーク IPS 手法では検出できないような非常に複雑な脅威でも検出が可能です。今日、ネットワークベースの攻撃の多くは、難読化技法を利用して検出を回避しています。ブラウザ保護はブラウザ内部で動作するので、難読化が解かれたコードが実行されている状態でチェックを行えます。このため、保護スタックの下位の検査層では見逃されてしまう攻撃を検出して阻止できるのです。

不正ダウンロード保護(UXP)


この防御技術は、ネットワークベースの保護層で最後の砦となるものです。シグネチャを使う必要なく、パッチ未適用の未知の脆弱性から生じる影響を軽減します。ゼロデイ攻撃に対する保護を提供する追加の層となります。

問題への対応

これらのネットワークベースの保護技術を結集して、次のような問題に対処します。

ドライブバイダウンロードと Web 攻撃ツールキット

シマンテックのネットワーク脅威保護技術は、ネットワーク IPS、ブラウザ保護、UXP という一連の技術を駆使しながら、ドライブバイダウンロードをブロックし、マルウェアがシステムに侵入しないように防御します。これと合わせて、後述する汎用悪用コードブロッキング(GEB)技術や Web 攻撃ツールキットの汎用検出など、多彩な防止手法も活用します。Web 攻撃ツールキットの汎用検出は、標的となる脆弱性が何であろうとも、Web 攻撃ツールキットでよく見られるネットワーク特性を分析します。これにより、Web 攻撃ツールキットそのものからの保護に加え、新たな脆弱性に対するゼロデイ保護を実現します。この方法で Web 攻撃ツールキットとドライブバイダウンロードから保護する場合の最大のメリットは、密かに感染を狙うマルウェアをプロアクティブに阻止してシステムから排除できることです。これは、従来の検出技術では見落とされがちな点です。シマンテックは今後も、他の手法では通常検出できない何千万種類ものマルウェア亜種をブロックしていきます。

ソーシャルエンジニアリング攻撃   

シマンテックの保護技術では、ネットワークトラフィックとブラウザトラフィックを発生時に監視しています。そのため、エンドポイントから得られたインテリジェンスを活用して、偽のウイルス対策ソリューションやコーデックなどのソーシャルエンジニアリング攻撃への判断を行えます。シマンテックの技術ならば、ソーシャルエンジニアリング攻撃が画面に表示される前にブロックできるので、ユーザーをだますことはできなくなります。他社製品でこれほど効果的な機能を提供するものは、ほとんど見当たりません。シマンテックのソリューションは、実行されてしまうと従来のシグネチャベースの技術では通常検出できない何百万種類もの攻撃を阻止しています。

シマンテックは、このネットワーク脅威保護技術を用いて、数億件ものソーシャルエンジニアリング攻撃を阻止しています。

ソーシャルメディアアプリケーションを狙った攻撃

ソーシャルメディアアプリケーションは、仕事とプライベートの両面で、近況や面白い動画や情報を多数の友人や知人と即座に共有する手段として定着してきました。多数のユーザーが即座にアップデートしたいという意欲で集まるネットワークは、ハッカーにとっては格好の感染経路となります。ハッカーがよく利用する手口は、次のようなものです。たとえば、アカウントを乗っ取ってスパムリンクや悪質なリンクを一斉に送り付けて偽のアンケートに回答するように仕向けるものや、動画へのリンクをクリックするように誘導して隠された「いいね」ボタンをクリックさせる Facebook「Like ジャッキング」攻撃などです。ユーザーが意図していなくても、「いいね」ボタンが瞬時に押されることになります。

シマンテックの IPS 技術は多くの場合、このような攻撃によりユーザーがだまされて何かをクリックしてしまう前に阻止できます。シマンテックはネットワークベースの保護技術を用いて、悪質な不正 URL やアプリケーションや詐欺を阻止します。

マルウェア、ルートキット、ボットに感染したシステムの検出


感染しているコンピュータをネットワーク内で特定できれば、非常に役立つはずです。シマンテックの IPS ソリューションならそれが可能で、他の保護層をすり抜けてきた可能性のある脅威でも、検出と修復を行えます。命令元への通信やアップデートの取得を試みて悪質な活動を拡大しようとしているマルウェアやボットを検出します。これによって IT 管理者は調査が必要な感染システムの明確なリストを入手し、企業の安全を保持することができます。Tidserv、ZeroAccess、Koobface、Zbot など、ルートキット手法を用いて自らを隠すポリモーフィック型脅威や対処が難しい脅威も、この方法によって検出、阻止できます。

難読化された脅威からの保護


今日の Web 攻撃は、複雑な手法を用いて自らを隠したり難読化したりします。シマンテックのブラウザ保護はブラウザに内蔵され、従来の方法では通常検出できないような非常に複雑な脅威までも検出できます。

ゼロデイ脆弱性およびパッチ未適用の脆弱性

最近加わった保護機能の 1 つに、ゼロデイ脆弱性およびパッチ未適用の脆弱性を保護する追加層があります。シグネチャ不要の保護技術を使って、システム API の呼び出しを傍受してマルウェアのダウンロードを阻止します。シマンテックが提供する、不正ダウンロード保護(UXP)技術です。これが、シマンテックのネットワーク脅威保護技術で最後の砦となります。シグネチャを使う必要なく、パッチ未適用の未知の脆弱性から生じる影響を軽減します。この技術はノートン 2010 以後に発売された製品に搭載されており、自動的に有効化されます。

パッチ未適用のソフトウェア脆弱性からの保護

マルウェアは通常、ソフトウェアの脆弱性を突くことによって、システムに密かにインストールされます。シマンテックのネットワーク保護ソリューションは、汎用悪用コードブロッキング(GEB)技術という追加の保護層を備えています。GEB は、システムへのパッチ適用の有無にかかわらず、潜在的な脆弱性の悪用から「汎用的」に保護を行います。今日の脅威動向においては、Oracle Sun Java、Adobe Acrobat Reader、Adobe Flash、Internet Explorer、ActiveX コントロール、QuickTime などに多数の脆弱性が存在します。シマンテックが汎用悪用コードブロッキング保護を完成させるうえでは、こうした脆弱性が悪用されるまでの過程をリバースエンジニアリングで解析して、ネットワークにおける悪用に見られる特徴を調査しました。基本的に、ネットワークレベルのパッチを提供するものとなります。単一の GEB(脆弱性シグネチャ)により、シマンテックや他のセキュリティベンダーでも未確認な数千ものマルウェア亜種から保護することができます。

悪質な IP とドメインのブロック

シマンテックのネットワークベースの保護には、悪質な IP とドメインのブロック機能も含まれます。これは、悪質だとわかっている Web サイトからのマルウェアや悪質なトラフィックを回避する機能です。セキュリティテクノロジおよびレスポンスチームの分析結果を基に、悪質な Web サイトを見つけ、それらの情報を LiveUpdate 経由でアップデートすることで、絶えず変化する脅威に対してリアルタイムの保護を実現します。

侵入耐性の強化

base64 や gzip といった一般的なエンコーディング方式が使われている場合の検出効果を高めて攻撃時の侵入耐性を強化するため、対応するエンコード範囲を拡大しました。

ポリシー利用の徹底とデータ漏えい識別のためのネットワーク監査検出

ネットワーク IPS は、企業の利用ポリシーに違反する可能性のあるアプリケーションやツールを識別したり、ネットワーク経由でデータ漏えいが発生するのを阻止するために利用できます。インスタントメッセージ、ピアツーピア、オープン共有へのログイン、ソーシャルメディア、その他の「興味深い」トラフィックの検出や警告や回避が可能になります。

STAR インテリジェンス通信バス

ネットワーク保護技術は、単独で動作するものではありません。このエンジンは、STAR インテリジェンス通信プロトコル(STAR ICB)を利用して、シマンテックの他の保護技術とインテリジェンスを共有します。ネットワーク IPS エンジンが Symantec SONAR エンジンおよび Insight レピュテーションエンジンと通信することで、他のセキュリティ企業では提供ができないような、より豊富な情報に基づいた精度の高い保護を実現します。

シマンテック製品

ネットワークベースの保護は、次の製品に搭載されています。                               

ふるまいベースの保護

今日、何百万名ものエンドユーザーが、ビデオプレイヤを装ったマルウェアや不正なウイルス対策アプリケーションをクリックするように仕向けられる事例が後を絶ちません。有益さを称していながら実際にはシステムを感染させたりユーザーをだましたりして、何の役にも立たないソフトウェアを購入するように仕向けるだけです。ドライブバイダウンロードと Web 攻撃ツールキットは、主流 Web サイトを訪れる何億名ものユーザーを密かに感染させています。マルウェアの中にはルートキットをインストールしたり、実行中のプログラムやシステムプロセスに悪質なコードを挿入したりするものもあります。今日のマルウェアは動的に生成されるため、ファイルベースの検出機能では、エンドユーザーのシステムを十分に保護することはできません。

ふるまいベースのセキュリティが重要な理由

2010 年、シマンテックが確認したマルウェア亜種は 2 億 8,600 万を超え、阻止した攻撃は 30 億を超えました。マルウェアの脅威と亜種がこうして増え続けていることを受け、シマンテックは業界でも先進的で革新的なアプローチが必要だと考えました。エンドユーザーの操作やマルウェアの侵入方法がどのようなものでも、自動的かつ密かに感染を防止して保護する必要がありました。シマンテックの Insight レピュテーション技術と Symantec Online Network for Advanced Response(SONAR)ふるまいベースのセキュリティは、こうして生まれた革新的アプローチです。

ふるまいベースのセキュリティ技術は、今日のマルウェアの急速な成長に合わせて拡張するのに最適です。悪質なものと安全なものを含め大量のファイルから共通する特徴を見つけ出すことが、ファイルベースのヒューリスティックと比べてはるかに得意だからです。マルウェアがふるまいを変えるということは、ほとんどないか、あったとしてもそう簡単にはできません。ふるまいを変更するには、マルウェアの拡散と生成に致命的な影響が及ぶほどの多大な労力が必要だからです。

ふるまいベースの保護技術は、未確認のゼロデイコンピュータ脅威に対し、非侵襲による効果的な保護を実現します。SONAR は、アプリケーションの外見ではなくふるまいに基づいて脅威から保護するソリューションです。SONAR はシマンテックのふるまいベース技術の中核をなすエンジンです。人工知能ベースの分類エンジン、人間が作成した挙動シグネチャ、挙動ポリシーロックダウンエンジンを備えています。これらのコンポーネントが連携して、主にソーシャルエンジニアリング攻撃や標的型攻撃の脅威に対して、業界でも先進的なセキュリティを提供します。

ふるまいベースの保護技術で対応できる脅威ベクトルには、主に次のものがあります。

  • Advanced Persistent Threat(APT)などの標的型攻撃、トロイの木馬、スパイウェア、キーロガー、一般的なマルウェア
  • ソーシャルエンジニアリング攻撃(偽のウイルス対策ソリューション、悪質なキー生成プログラム、偽のコーデック)
  • ボットとボットネット
  • 非プロセス挿入型脅威(NPT)
  • ゼロデイ脅威
  • ドライブバイダウンロードにより、他の保護層をすり抜けて侵入してきたマルウェア
  • ルートキット技術で自身の存在を隠すマルウェア

シマンテックのふるまいベースの技術層が保護機能を発揮するタイミング

ソーシャルエンジニアリングにだまされて悪質なアプリケーションをユーザーが実行してしまった場合でも、ドライブバイダウンロードなどの Web 攻撃によりマルウェアが密かに自動インストールされようとしている場合でも、SONAR が保護します。マルウェアが実行または開始されたとき、あるいは実行中のプロセスに自身を挿入(NPT)しようとしたとき、SONAR はシステムの感染をリアルタイムで阻止します。Hydraq(Aurora)や Stuxnet、マルウェアを埋め込むルートキット Tidserv や ZeroAccess に対するゼロデイ保護を行えることから、SONAR はエンドポイントの保護に欠かせない技術だと言えます。

動作のしくみ: 人工知能ベースの分類エンジン

シマンテックは、約 12 億個のアプリケーションインスタンスを基に、世界最大規模のふるまいプロファイルデータベースを構築しています。機械学習分析を使って問題のあるアプリケーションとそうでないものの行動を分析することで、まだ作成されてもいないアプリケーションの挙動までもプロファイル化することができるのです。SONAR の分類エンジンは、Insight、IPS、ウイルス対策エンジンといった他のエンドポイントセキュリティコンポーネントから得られる約 1,400 種類もの動作属性と豊富なコンテキストを活用します。これにより、悪質なふるまいを素早く見つけ出し、被害が実際に発生する前に問題のアプリケーションを駆除できるようにします。ノートンおよびシマンテックのお客様を保護するために SONAR が分析した実行可能ファイルや dll やアプリケーションの数は、2011 年には 5 億 8,600 万を超えました。

NPT からの保護

今日のマルウェアは、必ずしも単体の実行可能ファイルというわけではありません。スタンドアロンでないマルウェアは、一般的に実行中のプロセスやアプリケーションに自身を挿入したり、拡張可能なアプリケーションにコンポーネントを登録したりすることで、できるだけ早急に身を隠し、信頼性のある OS プロセスやアプリケーションを装って悪質な活動を隠蔽しようとします。たとえば、一部のマルウェアは、explorer.exe(デスクトップシェルプロセス)や IExplorer.exe(Internet Explorer ブラウザ)といった実行中のプロセスに悪質なコードを挿入したり、そうしたアプリケーションに拡張機能として悪質なコンポーネントを登録したりします。そうすることによって、悪質な活動は、よく知られた信頼性のある OS コンポーネントのものだと見なされるのです。SONAR は、挿入を試みているソースプロセスを特定することで、そのようなコードがターゲットプロセスに挿入されることを防ぎます。また、悪質なコードも特定して、それが信頼性のあるターゲットプロセスにロードされたり実行されたりしないよう、必要に応じて阻止します。

挙動ポリシーロックダウン

ドライブバイダウンロードは、Adobe Reader、Oracle Sun Java、Adobe Flash などのブラウザプラグインの脆弱性を悪用することで作動します。ドライブバイダウンロードが脆弱性を突いた後は、そのアプリケーションを利用して、任意のアプリケーションを密かに実行することができます。シマンテックは、挙動ポリシーロックダウン定義を作成することで、悪質な動作をブロックしてシステムを保護できます。たとえば、「Adobe Acrobat による他の実行可能ファイルの作成は不可」、「dll が explorer.exe プロセスに挿入することは許可しない」といった定義が用いられます。これは、ポリシーやルールに基づいて挙動をロックダウンしていると言えます。この SONAR 定義(ポリシー)はシマンテック STAR チームが作成しています。ブロッキングモードで自動的に配布されるので、お客様による管理は必要ありません。これによって、信頼性のあるアプリケーションによる不審なふるまいを防ぎ、システムを自動的に保護します。

挙動ポリシー適用(BPE)シグネチャ

SONAR 技術で重視しているのは、絶えず変化する脅威状況に合わせて進化できることです。シマンテックは、明日の脅威も見据えて保護機能の拡張を行っています。ルートキット、トロイの木馬、偽のウイルス対策ソリューションなどで新種の脅威ファミリーが確認されると、それらを検出する新しい挙動シグネチャを作成できます。これをリリースすることで対応ができるので、製品自体のコードを更新する必要はありません。それらは、SONAR 挙動ポリシー適用シグネチャと呼ばれます。このシグネチャは、迅速な記述、テスト、配布が可能です。特定のクラスの脅威が新たに出現した場合でも、極めて低い誤検知率で対応して、SONAR の柔軟性と適応性を高めます。シマンテックの SONAR BPE シグネチャは、偽のウイルス対策ソリューションやミスリーディングアプリに的を当てたものから、Graybird、Tidserv、ZeroAccess、Gammima といった特定のマルウェア脅威やルートキットを対象にしたものまで、多数が用意されています。

BPE シグネチャのしくみ

あるアプリケーションが実行された場合で考えてみます。

  • Windows 一時ディレクトリにコンポーネントを投下
  • これにより大量のレジストリエントリを追加
  • ホストファイルを変更
  • ユーザーインターフェースを備えていない
  • ハイポートで通信を開始

これらのふるまいを個別に見ていれば、「悪質」とは言えないかもしれません。しかし全体として見れば、悪質な動作プロファイルだと言えます。STAR アナリストは、特定の Insight レピュテーション特性に基づいて、実行可能ファイルによるこうした一連の動作を確認したら、そのプロセスの実行を停止させて、変更状態からロールバックするように定めたルールを作成します。SONAR は、感染した正当なアプリケーションを取り囲むように仮想サンドボックスを構築できるので、そのアプリケーションがコンピュータに危害を与えうる悪質な行動をとることを防止できます。アプリケーションの見た目ではなく、挙動やふるまいを利用するという点で、エンドポイントセキュリティの保護にとって非常に新しい方法と言えます。

サンドボックスを使用して、悪質なファイルの自動修復

リアルタイムの挙動保護エンジンは、アプリケーションやプロセスやイベントを監視して、サンドボックス化します。これらを、静的にではなく動的に行います。悪質な活動の影響がシステムに及ばないように、加えられた変更はロールバックできます。

アプリケーションとプロセスのリアルタイム監視


SONAR は、実行中のあらゆるアプリケーションや dll やプロセスを 1,400 種類以上の属性と照らし合わせて監視し、脅威が実行されたときにはリアルタイムでシステムを保護します。

STAR インテリジェンス通信バス

SONAR 技術は、単体で動作するものではありません。このエンジンは、STAR インテリジェンス通信プロトコル(STAR ICB)を利用して、シマンテックの他の保護技術とインテリジェンスを共有します。この エンジンが、ネットワーク IPS エンジン、ウイルス対策エンジン、Insight レピュテーションエンジンと通信することで、より豊富な情報に基づいた精度の高い保護を実現しています。これは他のセキュリティ企業では難しいことです。   

レピュテーションベースの保護

STAR が開発した一連の保護技術で最も新しいのは、レピュテーションベースのセキュリティです。これは、脅威動向の中でも最新の、小規模に配布されるマルウェアに対処します。シマンテックのレピュテーションシステムは、1 億 3,000 万を超える協力ユーザーの知見を活かして、匿名化された利用パターンを基にアプリケーションが悪質かどうかを学習します。そこで得られたインテリジェンスに基づき、ほぼすべてのソフトウェアファイルが自動的に分類されます。このレピュテーションデータはシマンテックの全製品に採用されています。新しいマルウェアを自動的にブロックするとともに、正当なアプリケーションが新しく登場した場合には特定や許可します。

問題: 絶えず変化する脅威状況

以前は、脅威の種類はそれほど多くはなく、それらが何百万台ものマシンに拡散されていました。どのような脅威でも、対応するウイルス対策シグネチャがマシンに配備されていれば、簡単に阻止できました。マルウェアの作成者はこれに気付いて、作戦を変えたのです。今日では、さまざまな難読化技法を利用して、脅威の見た目を素早く次々と変えるようになっています。今や、攻撃者が 1 社または数社のグループごとに異なる脅威亜種をそのつど新しく作成することも珍しくありません。そのため、数億に達する亜種が毎年新しく生み出されています。

これらの脅威は、Web 攻撃やソーシャルエンジニアリング攻撃によって標的のコンピュータに配布されます。シマンテックの調査によると、今日の脅威の大半は、全世界での分布台数が 20 台にも満たないうちに拡散が終了しています。このため、セキュリティ企業でも脅威の詳細把握が難しく、サンプルを採取して分析し、従来の方法で事後対応型のシグネチャを作成することはほとんど不可能となっています。毎日 60 万を超える新しい亜種が生み出されています。シマンテックは昨年、セキュリティ対策がなされたお客様のマシンから、2 億 4,000 万種の脅威ハッシュを検出しました。これだけの数について、従来型シグネチャを作成、テスト、配布することは現実的に不可能です。

解決策: 評価ベースの保護

従来型のフィンガープリント手法で保護機能を提供するためには、セキュリティベンダーが事前に各脅威のサンプルを採取する必要がありました。シマンテックのレピュテーションベースセキュリティでは、まったく異なるアプローチをとっています。悪質なファイルだけに限らず、すべてのソフトウェアファイルを対象として正確な分類を行います。匿名の遠隔測定による「ping」データがシマンテックに世界中から毎日、無数に送信され、これを基にして分類を行います。こうしてほぼリアルタイムで集められた ping データから、シマンテックは次の情報を得ています。

  • お客様のマシンに導入されているアプリケーション(一意の SHA2 ハッシュ値で識別)
  • Web 上でのアプリケーションの出所
  • アプリケーションへのデジタル署名の有無
  • アプリケーションの古さ
  • その他のさまざまな属性

シマンテックではさらに、社内の Global Intelligence Network、社内のセキュリティレスポンスチーム、シマンテックにアプリケーションインスタンスを提供する正当なソフトウェアベンダーからのデータを追加しています。

このデータは、大規模モデルに統合されます。Facebook のソーシャルネットワークとは異なり、単にユーザー同士の関係にとどまりません。アプリケーションと匿名ユーザーが、リンクでつながれます。これによって、全対象ファイルと何百万人もの匿名ユーザーとの関係性がエンコードされます。アプリケーションとユーザーのネットワークを分析することで、各アプリケーションの安全性を評価するのです。その結果、良い/悪い/中間という段階が付けられます。現在このシステムでは、良いものも悪いものも含めて 10 億 9,800 万を超えるファイルを追跡しています。1 週間に 2,000 万超のペースで、新たなファイルが追加されています。

機能

シマンテックのクライアント、サーバー、ゲートウェイ製品にはレピュテーションデータが使用されており、次の 4 つの点で保護機能の向上に役立っています。

優れた保護

このレピュテーションシステムでは、ファイルの良しあしにかかわらず、どれについても極めて精度の高い評価が行われます。この評価結果は広く見られるマルウェアに効果があるだけでなく、インターネットの中でもごく少数のユーザーにしか影響しない希少な脅威の特定にも役立っています。これにより、あらゆる種類のマルウェアに対して検知率が向上します。

このレピュテーションによる保護機能の向上が最も顕著に表れているのは、ノートン製品に搭載されたダウンロードインサイト(DI)機能と、Symantec Endpoint Protection 製品に搭載されたダウンロードアドバイザ(DA)機能です。両者は、インターネットからダウンロードされる新しい実行可能ファイルをすべてチェックします。続いて、シマンテックのレピュテーションクラウドに問い合わせを行います。DI と DA はクラウドから受け取った評価を基に、次の 3 つからいずれかの行動をとります。

  • ファイルの評価が悪い場合、完全にブロックします。
  • ファイルの評価が良い場合、実行を許可します。
  • ファイルが評価途中で安全性が不明な場合、安全性が未確認なことをユーザーに警告します。ファイルを利用するかの判断はユーザーに委ねられ、ユーザーはリスクの許容レベルを基に決定を行います。企業の場合は管理者が決定権を持つため、部門によって異なるリスクの許容レベルに基づき、各部門でブロックや許可を行うしきい値を管理者が指定できます。

誤検知の防止

シマンテックの技術は、正当なソフトウェアに対する誤検知率が著しく低いという定評があります。これに加えて次の 2 つの特長によって、誤検知率はさらに下げられています。

1 つ目は、レピュテーションベースの技術では、従来型のウイルス対策スキャン技術のようにファイルの内容を見るのではなく、ソーシャルメディアのような結びつきを利用して得られたグラフを基にファイルを評価するという点です。これは、ウイルス対策ヒューリスティックや動作ベースのブロッキングといった従来型の検出技術を補強するセカンドオピニオンとなります。どちらの結果もファイルが悪質ということになれば、誤りである可能性は限りなく低いと言えます。

2 つ目は、システムには実行可能な全コンテンツの拡散状況が保存されていて、この情報もファイルが有害かどうかの判断に利用できるという点です。たとえば、あるファイルが有害かどうか不明であり、そのファイルが見つかったマシンが全世界で 2 台という場合、何百万台ものマシンで見つかっている場合と比べると影響範囲がはるかに小さいでしょう。あらゆる判断に際してこの情報を含めることで、十分な情報に基づいた、より効果的な保護が実現できます。

パフォーマンスの向上

ユーザーのマシンには通常、変更されることがないファイルが数多く入っています。ごくまれな例外を除き、すべて問題のないものです。ところが、従来のウイルス対策では、問題ないファイルも含めシステム内のすべてのファイルをスキャンして、脅威リストと照合する必要があります。既知の脅威リストを基に悪質なファイルを見つけることに重点が置かれているからです。新しい脅威が見つかるたびに、新しいシグネチャで全ファイルを再スキャンし、新たに発見された脅威に一致するファイルがないかをチェックする必要があります。

これは極めて効率の低いプロセスだと言わざるをえません。セキュリティベンダーでは、毎日何千もの新しいウイルスシグネチャを発行しているからです。一方、レピュテーションベースのセキュリティでは、ファイルの良しあしにかかわらず、どのファイルもその安全性が極めて正確に評価されます。レピュテーション技術を備えた製品ならば、システムをスキャンし、良好だとわかったファイルはその旨を記録しておけば、内容に変更が生じない限り、再スキャンの対象から除外できます。従来型のスキャンよりもリソースニーズが軽減するためパフォーマンスが大幅に改善され、リアルタイムでの保護機能が最大 90% も向上します。さらに、ユーザーエクスペリエンスも向上します。

ポリシーベースのロックダウン

従来のセキュリティソリューションでは、既知のマルウェアを二者択一でブロックします。確実に悪質だと判明したものはマシンから駆除されますが、その他は、実際には悪質なものだったとしてもすべて残るということです。マルウェアが足場を作れる場所が多数、対処されないまま残されることになります。サイバー犯罪者がまったく新しいマルウェアを作成したとしましょう。この脅威は既存のウイルス対策シグネチャでは検出できない可能性が高いと言えます。ベンダーにはそのマルウェアを分析する機会がなかったからです。その新しい脅威が既知の脆弱性を悪用したり、事前に定義された疑わしい挙動パターンを示したりしない限り、既存のセキュリティ技術では検出されないままとなる可能性もあります。レピュテーションベースのセキュリティならば、ユーザーと IT 管理者がこのような状況に対応するのを支援できます。実行可能なコンテンツをマシンに許可するかについて、より多くの情報に基づいて的確な判断を行えるでしょう。

シマンテックのレピュテーションベースのシステムは、ファイルの良しあしに関する情報を管理することに加えて、各ファイルの拡散状況や古さなど追加の属性も保持しています。こうした属性は、今後のシマンテックエンタープライズ製品でポリシーを適用する際に利用できます。管理者はこれを基にして、ユーザーがシステムに何をインストールできるかを管理できます。たとえば、新しい脅威がまだ悪質とされておらず、出現してから間もない場合であれば、ユーザーと IT 管理者は、レピュテーション情報を利用して、マシンにどのようなものが許可されるかに関するポリシーを適用できます。たとえば、IT 管理者は、財務部門の従業員がダウンロードできるのは、認証ユーザーが 1,000 人以上、インターネットでの古さが 2 週間以上のアプリケーションのみと制限できます。一方で IT ヘルプデスクのスタッフには、ユーザーが 100 人以上あって評価スコアがほどほどのファイルならば、古さを問わずダウンロード可能とすることができます。管理者は、部門によって異なるリスクの許容レベルに基づき、各部門の保護方法を調整できます。シマンテックの調査によると、企業内で新しいマルウェアに対するリスクを低減するうえで、この方法は非常に効果的だと判明しています。

修復

シマンテックは、脅威をマシンにまったく侵入させないことを目標としています。ただし現実には、システムが感染する可能性というものは残ってしまうものです。たとえば、次のような状況が考えられます。

  • セキュリティ製品がインストールされていない場合
  • 製品のサブスクリプションが切れてしまっている場合
  • 新しいゼロデイ脅威の攻撃を受けた場合

シマンテックの修復技術を使えば、このような状況に対処して、感染したマシンをクリーンアップできます。基本的な修復技術は、マルウェアに対応するシマンテックのセキュリティ製品すべてに組み込まれています。

最近、より攻撃力の強いマルウェアに感染したマシンを修復できる、一連のスタンドアロンツールがこれに加わりました。これには、ノートン パワーイレイサーや Symantec Power Eraser(Symantec Endpoint Protection Support Tool に付属)が含まれています。これらの修復ツールは、次の特長を備えています。

高速かつアップデートが簡単に可能なエンジン

脅威は絶えず変化を遂げて、セキュリティスイート製品を回避しようとしています。シマンテックが提供するこれらのツールは簡単にアップデートできるので、新しいゼロデイ脅威にも的確に対応できます。

感染への総合的な対処

今日の脅威による感染は複雑度が増しています。ダウンローダからペイロード、そしてそれらを隠蔽するルートキットまで、多数のコンポーネントが連携して、犯罪者の利益を狙っている状況です。Power Eraser エンジンは、こうしたリスクを検出して駆除できるように作られています。脅威そのものの動作パターンだけでなく、感染の第一段階としてシステムに脅威を招き入れるダウンローダの動作パターンまでチェックしています。

効果的な検出テクニック

Power Eraser エンジンは数多くの新しいヒューリスティックエンジンとデータ分析ポイントを駆使して、さまざまな脅威を検出します。具体的には、パッカーヒューリスティック、ロードポイント分析、ルートキットヒューリスティック、挙動分析、分布分析、システム構成モニタなどを使用します。