最新のエンドポイントセキュリティはランサムウェアや未知の脅威を阻止

最近の調査では、60秒間に333もの新種のマルウェアが出現していることがわかっています。この数はこの2年の間で約5倍になっています。特に近年はランサムウェアの数が劇的に増えており、実際に被害に遭ったり、対策に頭を悩ませている方が多いことでしょう。 (McAfee脅威レポート:2016年第1四半期)

新しいランサムウェアの数

201909271

出典:McAfee脅威レポート:2016年第1四半期

ランサムウェアとは、重要なファイルを暗号化し、身代金を要求する金銭目的の攻撃のことです。攻撃が成功しファイルが暗号化されると、「ファイルを復号化するには身代金を支払わなければいけない」というような脅迫メッセージが表示されます。仮想通貨の登場で身元を隠した金銭の授受が可能になったことや、ランサムウェアの作成や流通のためのツールが誰でも簡単に入手できることで加担する犯罪グループが増加し、ランサムウェアは急激に高度化し増加しました。このような新しいタイプの攻撃は、セキュリティ対策をしていても防ぎきれない例があります。なぜランサムウェアは防ぎきれないのでしょうか?この理由のひとつは、ランサムウェアが通常ポリモーフィックという性質を持つためです。

ポリモーフィックとは、感染の度に自身のコードを毎回ランダムに変化させ、セキュリティソフトによる検出を回避する仕組みを持つ性質のことです。マルウェアの情報を蓄積したシグネチャのデータベースを利用するパターンマッチングは、少ないリソースで判定でき、誤検知が少ないために効率が良く、現在でも有効な手法として高く評価されています。しかし、既知の脅威としてマッチしない場合は、すり抜けられてしまいます。このためランサムウェアは防御できないことがあるのです。

通常、セキュリティ対策は、前例を元にして有害か無害かを判定するため、前例のない巧妙に作られたマルウェアはセキュリティ対策をすり抜けてしまう可能性があります。「ふるまい」や「レピュテーション(評判)」から予測して判定することもできますが、100%はあり得ません。新しい手法のマルウェアが出現した場合、本当に捕まえることができないのでしょうか?

このための解決策として、「アプリケーションの動的隔離(Dynamic Application Containment: DAC)」という機能が提供されました。以降、省略してDACと呼ばせていただきます。
DACは、2016年8月にMcAfee Endpoint Security 10.2で追加された新機能です。ちょうど虫かごのようなものを想像するとわかりやすいでしょう。良いか悪いか判断できなかったプログラムは、ひとまず虫かごに閉じ込めてから、検査されます。このとき、プログラムは、駆除されるわけではなく、システムに変更を加えるなど被害の可能性のある動作だけが制限されます。ひとまず閉じ込めた状態にし、悪意のあるものと判断されれば駆除されますし、逆に悪意のない正規のプログラムであるとわかれば解放されます。さらに一歩進んで、不明であるとして閉じ込められたプログラムをより短時間で判定するために、サンドボックスでの解析を使うこともできます。サンドボックスとは、実環境に影響が出ないよう隔離された仮想環境の中で、未確認ファイルや疑わしいファイルを動作させ、分析する仕組みのことです。この場合は、弊社のローカルインテリジェンスの仕組みのMcAfee Threat Intelligence Exchange (TIE) と サンドボックスのMcAfee Advanced Threat Defense (ATD) を組合わせた活用方法です。これを活用すると悪意のあるプログラムの解析結果が得られると、企業内でTIEのデータベースを利用して即時に共有されるので、同じ種類のマルウェアの侵入は、別の場所であっても即座にブロックされます。

このようにして、DAC ()は、プログラムを隔離して動作を制限することによって、未知のマルウェアから身を守ることができます。ランサムウェアや、今後出てくるかもしれない新たな脅威への対抗に大変有効なソリューションです。「DAC ()」は、McAfee Complete Endpoint Protection — Enterpriseで利用することができます。

本文著者:マーケティング本部 ソリューション・マーケティング部 部長 平野 祐司


以前のバージョンのエンドポイントセキュリティ製品をお使いのお客様に、最新のEndpoint Security 10.2を使ったデモを中心としたトレーニングを無償で提供します。集中管理ツールePolicy Orchestratorをお使いになる際のコツなどもSEがお教えします。

詳しくはイベントのページをご覧ください。

【エンドポイントセキュリティ 無償トレーニング】

■日程: 2016年10月31日(月)

■時間: 13:30 – 17:30(13:15 受付開始)

■定員: 30名(事前登録制)

■参加費: 無料

■会場: インテルセキュリティ セミナールーム

渋谷区道玄坂1- 12- 1 渋谷マークシティ ウエスト16F

■申込:

10/31 東京開催

https://japan.demand.intelsecurity.com/2016Q4_ENS1031


【製品情報】
McAfee Endpoint Security 10.2
McAfee Threat Intelligence Exchange (TIE)
McAfee Advanced Threat Defense (ATD)
McAfee Complete Endpoint Protection — Enterprise

【関連情報】
ランサムウェア関連情報 まとめ

【関連記事】
第5回:今だから学ぶ! セキュリティの頻出用語 : マルウェアとは?