販売パートナーさまへ

導入をご希望の
お客さまはこちら

Symantec Sales Center
シマンテックセールスセンター
SB C&Sがシマンテック製品のご購入を支援します

第4回:事後対策では手遅れ。脆弱性を前提とした対策で安心を〜メモリを保護する「MEM」の実力とは?〜[SEP 14おすすめ機能シリーズ]

sep04-pict2.jpg

※本記事は「Symantec Endpoint Protection 14」に搭載された新機能 ~テクノロジーの裏側に迫る~(全6回)の第4回です。

2017年5月に登場し、世界中で何十万台ものPCに被害をもたらし話題になったランサムウェア「WannaCry」は、テレビや新聞でも報じられ、大騒ぎとなりました。

セキュリティ担当者の中には、「ランサムウェア自体は以前から存在し、被害を与えていたのに、なぜWannaCryだけがこんなに騒がれるのだろう?」と疑問に感じた方がいるかもしれません。

WannaCryが注目された理由はいくつかありますが、その一つは、Microsoft Windowsの脆弱性を悪用し、ネットワークに接続しているだけで感染する恐れがあったからです。これまでのランサムウェアとは異なり、ユーザーがうっかり添付ファイルを開いたり、悪意あるWebサイトに接続したりといった能動的な行動をとらなくとも、被害に遭う可能性がありました。

このように、OSやWebブラウザ、アプリケーションの脆弱性を突いてマルウェアに感染させる攻撃は珍しいものではありません。しかも、こうした攻撃で狙われる脆弱性の件数は年々増加してます。なかでも危険な「ゼロデイ脆弱性」の数は、毎年約4000件前後にのぼり、攻撃が目立った2014年には5000件弱に上りました。

しかも脆弱性が発見され対策をとるべきソフトウェアは、OSやWebブラウザ、そのプラグインなど多種多様であり、すべての情報を追いかけ、深刻さに応じて適切に対応するのは、企業にとって非常に負担のかかる作業になっています。

シマンテックが2016年リリースした「Symantec Endpoint Protection 14(SEP 14)」では、こうした脆弱性を狙う攻撃からエンドポイントを守り、マルウェア感染などの被害を防ぐ「Memory Exploit Mitigation(MEM:メモリエクスプロイト緩和機能)」をあらたに搭載しました。今回はこのMEMの働きについて紹介します。

脆弱性対応、パッチ適用が必要と分かっていてもできない理由は?

脆弱性とはソフトウェアに存在するバグの一種で、特に、不正アクセスや情報漏えいといったセキュリティ上のリスクにつながるものを差します。「セキュリティホール」と呼ばれることもあります。

バグというものがゼロにならない以上、残念ながら、脆弱性もゼロにすることは困難です。脆弱性が見つかったときの根本的な対策は、脆弱性を解消したプログラムへアップデートするか、パッチを適用することしかありません(一時的に設定変更などの「回避策」が示されることもあります)。

稀に、修正プログラムが準備される前に、脆弱性情報が攻撃コードなどとともにインターネットで公開されることもあり、こうした危険で手の打ちようのない攻撃は、前述の「ゼロデイ攻撃」と呼ばれます。

ゼロデイ攻撃も含めた脆弱性を狙うサイバー攻撃が横行し、リスクが高まるにつれ、ソフトウェアを提供する側も脆弱性を放置することは少なくなってきました。マイクロソフトやオラクル、アドビシステムズ、グーグルといったいくつかのベンダーでは、定期的にアップデートを公開したり、自動的にアップデートソフトウェアを配信する仕組みを整えるとともにユーザーに告知を行い、脆弱性の修正を促すようになっています。

しかしいくつかの調査によると、常に最新のバージョンにアップデートしているユーザーは少数派のようです。

例えば、マイクロソフトでは2017年3月に、WannaCryが悪用した脆弱性「MS17-010」を修正するパッチを公開済みでした。公開から1カ月以上たっていたにもかかわらず、何十万台という規模で被害が生じたことからも、パッチを速やかに適用していないPCが多数存在していることは明らかです。

中にはただ「面倒くさいから」というケースもありますが、企業システムの場合「新バージョンに移行すると既存のアプリケーションが動作しなくなってしまうから」という互換性の問題が、パッチ適用に二の足を踏む大きな理由となっています。

「パッチを適用するのが一番いい」とわかっていても、数カ月かけて動作に不具合がないか検証してからでないと、業務アプリケーションへの悪影響が怖くて適用できない......そんな現実があるのです。

定義ファイルに頼らず、攻撃コードに典型的な動きを阻止

そうした環境に打てる手は何でしょうか。ネットワークから分離して厳密に監視するか、感染しても仕方ないとあきらめるか。それ以外の第三の道が、SEP 14のMEMを活用する方法です。

MEMは、脆弱性を悪用する攻撃を分析し、攻撃コードの典型的な動きをブロックする技術です。「シマンテックでは、世界最大級の脅威情報データベース『Symantec Global Intelligence Network』(GIN)から得られる情報を基に、脆弱性情報や攻撃動向、その手法を分析してきました。

これによると、エクスプロイト(Exploit)と呼ばれる脆弱性を狙う攻撃コードの動きはだいたい似通っていることが多いのです。特定エリアのメモリやエラーを悪用し、攻撃のためのコードを上書きしようとします」と世羅氏は説明します。

20170801_02-300x200.jpgMEMはそうした動きを判別し、悪用される前に書き込みをブロックし、マルウェアなどの感染から端末を保護します。あくまでコードの動きを基に判断を下すため、定義ファイルや仮想パッチを適用しなくても対応できることも特徴です。

例えて言うならば、指名手配書に載っていようといまいと、金庫を開けて現金を持ち出そうとする不審な動きをする人がいれば阻止するようなものです。

少し技術的な話に立ち入ると、MEMには、エクスプロイトの種別に応じていくつかの種類があります。「ヒープスプレー攻撃防止」では、ゼロデイ攻撃で狙われやすいメモリの位置をあらかじめアクセス禁止にすることで、攻撃コードが上書きされないようにします。

さらにJava Security Managerを無効化しようとする動きを遮断する「Java Exploit保護」と、Windowsが備える構造化例外ハンドラーの上書きを阻止する「構造化例外ハンドラーの上書き防止」があり、既知であろうと未知であろうと、脆弱性を悪用しようとする攻撃を根本で遮断します。

20170801_01.jpg

現在MEMがサポートし、保護可能なOSやアプリケーションは約30種類ですが、今後も拡張していく予定です。また2017年後半のリリースでは、単にMEMを有効にするかどうかの選択だけでなく、MEMによる監視対象を特定のパスに絞るといったチューニングに対応する見込みで、独自アプリケーションの動作を妨げないようにしながら脆弱性の悪用を防ぎ、利便性とセキュリティを両立させていく方針です。

このようにユニークなMEMですが、現時点ではゼロデイ攻撃の検出率は6割程度で、残念ながら100%ではありません。ですが、SEP 14が備える高度な機械学習や振る舞い検知、定義ファイルベースの検知といったここまで紹介してきた機能に加え、組織としてのパッチ適用やネットワーク監視といった取り組みと組み合わせ、対策のレベルを「底上げ」することが可能です。「MEMと他の機能が互いに補完し合うことで、より少ない負荷で、より万全に端末を守ることができるでしょう」と世羅氏は述べています。

お問い合わせ

シマンテック製品の購入、販売・ライセンス更新に関する
お問い合わせをお受け付けしております。

シマンテック製品の販売をご検討のお客さま
・販売パートナーさまはこちら

販売パートナー様
お問い合わせ窓口

自社への導入をご検討のお客さまはこちら

お見積り・
ご購入はこちら

製品に関するお問い合わせはこちら

購入後の技術的なお問い合わせ

各製品資料ダウンロード

製品カタログや、お客様へのご提案に
活用いただける資料をダウンロードいただけます。