販売パートナーさまへ

導入をご希望の
お客さまはこちら

Symantec Sales Center
シマンテックセールスセンター
SB C&Sがシマンテック製品のご購入を支援します

第5回:隠れたマルウェアも発見する「エミュレータ」の底力 〜巧妙化する「パッカー」攻撃への対策機能〜[SEP 14おすすめ機能シリーズ]

sep05-pict2.jpg

※本記事は「Symantec Endpoint Protection 14」に搭載された新機能 ~テクノロジーの裏側に迫る~(全6回)の第5回です。

2017年6月、大阪府在住の中学生がランサムウェアを作成したとして、不正指令電磁的記録作成・保管の疑いで逮捕されました。報道によれば、この中学生は力試しのため、海外サイトの情報などを参考に、自力でランサムウェアを作成していたといいます。

この件に限らず、マルウェアを作成することのハードルは下がっています。数年前にも、ネットに流通しているツールを用いてマルウェアを自作した中学生が逮捕されました。

プログラミングやセキュリティに関する専門的な知識がなくとも、マルウェアを作成できる時代に突入しました。今やWebフォームにいくつかの項目を入力するだけでオリジナルのランサムウェアを作成し、金銭稼ぎに悪用できるプラットフォーム「Ransomeware as a Serivce(RaaS)」までも犯罪者によって提供されています。

ランサムウェアファミリーの数も激増しており、シマンテックの調査では2016年だけで101種類に上りました。さらにこうしたファミリーに対してさらに多くの亜種が存在します。莫大なマルウェアの種類が出回る背景には「パッカー」の存在があります。

パッカーとは、マルウェアを圧縮・難読化して、いわば「マルウェアをパッケージにくるむこと=パッキング」によってセキュリティ製品の検知をかいくぐろうとする手法です。最近では多くのマルウェアが利用しています。

今や1日あたり100万を超える新種、亜種のマルウェアが登場している(*1)と説明しましたが、パッカーはその原因のひとつとなっており、前述のRaaSでも、少しずつ形を変えたマルウェアを作成するのに悪用されています。
(*1) http://business-security-station.com/securityinfo/392
この現状に対し、シマンテックでは2016年にリリースした「Symantec Endpoint Protection 14(SEP 14)」に、パッカーで正体を隠そうとするマルウェアの検出に特化した「エミュレータ」を追加しました。SEP 14の新機能を説明してきたコラムの第5回目では、多層防御の網をいっそう強化するエミュレータ技術について紹介します。

従来の対策をすり抜ける「パッカー」を暴き出す「エミュレータ」

20170830_02-300x200.jpgパッカーとは元々は圧縮手法の一つです。しかしサイバー犯罪者によって、セキュリティ対策ソフトウェアによる検出をすり抜ける目的でも利用されています。

圧縮のたびに異なるファイルを生成する「ポリモーフィックパッカー」を用いると、同じマルウェアをベースに生成されたファイルであっても、ファイルのコードが異なります。そのため、ファイルごとのハッシュ値を用いて検知する定義ファイルベースのマルウェア対策だけでは、検知が難しくなります。

攻撃者もそのことを認識しており、パッカーが用いられたマルウェアの数は確実に増加しています。シマンテックの調べでは、2005年の段階でパッカーを用いたマルウェアの比率は50%程度でしたが、2015年には83%にまで上昇しました。

シマンテックのプリンシパルセールスエンジニア、世羅英彦氏(セールスエンジニアリング本部 パートナーSE部)によると、以前は商用ツールによりパックされていたものが、現在ではカスタマイズしたツールでパックされており、「中に何がパックされているか、つまり、どのようなマルウェアが存在しているのかがますます分かりにくくなっている」と言います。「攻撃者は、利用するパッカーを頻繁に変え、更新して検出をさらに困難にしようとしています」と同氏は攻撃の巧妙化を指摘しています。

従来の定義ファイルに基づく検出手法でも、何とかしてパッカーを用いたマルウェアを検出しようと、パッカー自体の定義ファイルを作成して見つけ出そうとする試みもありました。

しかしカスタムパッカーの種類が増えると、いくら迅速に定義ファイルを作成しても、イタチごっこに終わってしまいます。仮想的なサンドボックス上で検体を動作させ、不審な動きを調べる「ヒューリスティックス」技術も、メモリに展開されるまで分からないパックされたマルウェア相手では検知が困難でした。

これに対しSEP 14のエミュレータ技術では、パッカーで圧縮・難読化されたマルウェアをエミュレーション環境上で解凍(アンパック)し、中に隠れていたマルウェアを暴き出します。

こうして丸裸にしたファイル本体を、SEP 14が備えるシグネチャベースの検出機能や、第3回で紹介した「高度な機械学習」(Advanced Machine Learning)技術(*2)でスキャンし、マルウェアを検出するのです。
(*2) http://business-security-station.com/securityinfo/405
本当に悪意あるファイルが含まれていた場合に備え、エミュレータは、通常のWindows環境とは別の、疑似APIを用いて用意した疑似Windows環境で動作します。

エミュレータと聞くと、動作が重くなるなど、パソコンへの負荷が気になる方もいるかもしれません。この点に関して世羅氏は、「シマンテックでは、負荷をかけずに疑似Windows環境を実装することに注力しました。その結果、無害なファイルを識別するのに要する時間は3.5ミリ秒、マルウェアであると判別するにも平均300ミリ秒程度で処理できます」と軽快に動作する点を強調しています。

多彩な手だてを用意。巧妙さを増す脅威の先回りをするシマンテック

このエミュレータ機能は、SEP 14が実行するリアルタイムスキャンや定時スキャン、オンデマンドスキャンの中で、必要に応じて呼び出されるため、ユーザーはその機能を意識せずに利用することが可能です。

たとえメールの添付ファイルに仕込まれていようとも、不審なWebからダウンロードしてきたファイルであろうとも、エミュレータでパッキングを解き、定義ファイルベースのアンチウイルスやクラウド上のインテリジェンス情報の参照、機械学習エンジンやアプリケーション保護といった防御技術で、悪意あるファイルを検出します。
このようにSEP 14が備えるさまざまな多層防御技術でマルウェア感染から端末を守ることができるようになるのです。

シマンテックの販売代理店であるソフトバンク コマース&サービスの矢部和馬氏は、「1世代前のエンドポイント製品だと、パッキングされているだけで検知を逃れられてしまうおそれもあります」とパッカー対策の重要性を訴えました。

「最近は、マルウェアを誰でも簡単に作成できます。そのような攻撃を見逃さないよう、先進のセキュリティ対策を導入する必要があるのです」(矢部氏)。

またエミュレータは多層防御のひとつです。そのため、仮に一つの防御機能が突破されたとしても、振る舞い検出技術の「SONAR」や、レピュテーションによってファイルの安全性を評価する「Insight」、ポリシーに基づいてアプリケーションの挙動を制御する「アプリケーション制御」といったさまざまな機能が控えています。

こういった多層防御の仕組みによって、ランサムウェアがディスクを暗号化するための鍵を取りにいったり、遠隔操作マルウェアがC2サーバと通信し、別のマルウェアをインストールしようとしたり......攻撃チェーンのいずれかの段階で食い止める術を提供しているのです。

つまり、ランサムウェアであろうとそれ以外のマルウェアであろうと、また標的型攻撃であろうとばらまき型であろうと、「守るための手だてをいろいろと用意していることが、シマンテックの最大の強みです」と世羅氏は説明しています。こうした手段をフル動員し、巧妙化、悪質化を続ける脅威の先回りを図っているのです。

20170830_01-1024x576.png

お問い合わせ

シマンテック製品の購入、販売・ライセンス更新に関する
お問い合わせをお受け付けしております。

シマンテック製品の販売をご検討のお客さま
・販売パートナーさまはこちら

販売パートナー様
お問い合わせ窓口

自社への導入をご検討のお客さまはこちら

お見積り・
ご購入はこちら

製品に関するお問い合わせはこちら

購入前の技術的なお問い合わせ

TEL:03-4540-6410

受付時間 10:00~12:00 13:00~17:00
(土、日、祝日、年末年始を除く)

購入後の技術的なお問い合わせ

各製品資料ダウンロード

製品カタログや、お客様へのご提案に
活用いただける資料をダウンロードいただけます。