もはや通常のウイルス対策だけでは不十分! - "ホワイトリスト型" の活用を

不正送金や遠隔操作など個人、法人を問わず様々なウイルスやマルウェアの被害を受ける可能性が高まるなか、家庭でもすぐに実現できる強固なセキュリティ環境の構築方法について識者らによる解説が行われたのが、去る3月15日（日）に東京・秋葉原で開催されたセミナー「あなたのPCは安全？動作が重い？自宅でもできる次世代セキュリティ対策 ― DefensePlatform書籍出版記念セミナー ―」だ。このセミナーの講演でハミングヘッズの顧問 石津広也氏は、「これまでできなかった防御を可能にする純国産セキュリティ」をテーマに、アンチウイルスソフトを中心としたこれまでのセキュリティ対策では難しかった未知の脅威からPCを守る方策を「DefensePlatform」の解説を通して披露した。その模様をレポートする。

アンチウイルスソフトの限界と現在進行形の新たな脅威

創業15年の技術ベンチャーで、純国産のセキュリティソフトメーカーであるハミングヘッズ。その最大の強みは、WindowsAPI監視に関する特許を有しており、プログラムに不正動作をさせない技術を製品に実装できる点にある。Windows上で動くソフトウェアはすべてAPIを使用するため、そこを監視できれば、ソフトウェアの挙動を完全に把握し、そしてコントロールすることが可能となるのである。

こうした極めて優位性の高い独自技術を背景に、同社の情報漏えい対策製品は電力、金融、官公庁といった機密性の高いシステムを扱う企業や組織を中心に約900社もの導入実績を誇る。24時間365日、サービスを停止させることが許されない重要インフラ企業でも十数年にわたって使われ続けており、そのような信頼性の高いコア技術をベースに標的型攻撃対策製品として開発されたのが「DefensePlatform」である。

石津氏は、「これまでいくつものセキュリティ対策製品が守れなかった脅威であっても確実に守れるように開発したのが『DefencePlatform』です」と語る。

ここで同氏は、昨今の脅威の深刻さを端的に示すマルウェア被害の実例を2つ紹介した。1つは、2013年12月に米国小売大手T社で、2014年9月には米国小売大手H社で発生した情報漏えい事件である。どちらの事件も同じ手法でPOSネットワークが攻撃され、クレジットカードなどの情報が盗み出された。その被害件数は前者が7千万件、後者が最大6千万件に及ぶ。いずれの攻撃にも同じマルウェアが使われているが、T社の事件を知っていたH社も情報漏えいを防ぐことはできなかった。もちろん、アンチウイルスソフトやIPSなど一般的なセキュリティ対策は実施済みだ。

石津氏はこう力説する。「なぜ両社はウイルスに気付かなかったのか? それはアンチウイルスソフトは基本的に、過去に発見されたマルウェアが記されたパターンファイルによって検知を行うため、検知されないよう工夫された新種や亜種への対応が遅れがちであり、また攻撃先が1社の場合はそこで発見されない限りマルウェアの存在に気付くことができないからだ。さらにPOS端末は機能が限定されているために、監視項目がサーバーなどに比べて少なくなりがちなことから、被害に気づきにくい傾向にある」

もう1つのマルウェア被害の実例は、昨年より脅威が叫ばれているMITB (マン・イン・ザ・ブラウザー) 攻撃によるインターネットバンキング不正送金である。警察発表によると、昨年この攻撃によって29億1000万円に及ぶ被害が発生しており、そのうち37.3％が法人口座での被害だという。MITB攻撃に用いられるマルウェアは次々と新種亜種が作られるため、やはり既存のアンチウイルスソフトでの検出が困難だ。加えて、通信先が正規の銀行サイトのため、通常のネットワーク監視を行っていても異常を検知しにくい。

「つまり、既存のアンチウイルスソフトが効かず、さらにネットワーク監視でも発見できないような攻撃が蔓延していることが、今日のセキュリティの大きな問題なのです」(石津氏)

実際、アンチウイルスソフトでは現在流出しているマルウェアの45％しか検出できない、と大手セキュリティベンダーの幹部が発言して波紋を呼んだことは記憶に新しい。

プログラムの「今」の挙動を監視する「DefensePlatform」の実力とは

既存のアンチウイルスソフトやネットワーク監視ソリューションが限界に達している中にあって、その限界を突破する新たなソリューションとして登場してきたのが「DefensePlatform」だ。

これまでのアンチウイルスソフトは、前述のように過去に発見されたマルウェアと突き合わせて検知を行うという、過去の事例に依存する方式を採用している。

「ビルの管理にたとえるならば、入り口に警備員が立っていて、来訪者と犯罪者リストを照らしあわせ、リストになければ通すということになります。これでは、もしリストに記載されてない悪意を持つ人間がいたとしても入り放題となってしまう。それがパターンファイルの限界なのです」(石津氏)

対して「DefensePlatform」の仕組みは、Windows内部のプログラムの動作を監視し、プログラムが自動で破壊・改ざん・漏えいしようとする動きを制止するというものだ。そのため、マルウェアが新種であろうと亜種であろうと (さらにはたとえ正規のプログラムであろうと) 一定の疑わしい動作をすればそれを見つけて止めることができるのである。

「ビルの監視で言えば、ビル内の人々の行動を監視していて、悪いことをしたら即座に捕まえるということ」と、石津氏は表現している。

ホワイトリスト方式のセキュリティを支援する豊富な機能

現在は、毎日20万件ものマルウェアが新たに登場していると言われており、もはやアンチウイルスソフトのように過去のデータと突き合わせる「ブラックリスト方式」では脅威を防ぐことはできない。「DefensePlatform」のように、あらかじめ許可したプログラムだけに動作を認める「ホワイトリスト方式」への発想の転換が切実に求められているのだ。

とはいえ、これまでにあったホワイトリスト型と言われるセキュリティ製品は、使うアプリケーションをすべて把握して登録設定が必要となり、実用性の面で問題があるといった事例が多数あった。しかし「DefensePlatform」の場合、WindowsのOS本体や国内企業でよく使用されているビジネスアプリケーションはあらかじめホワイトリストに登録済みなので、基本設定だけで高度なセキュリティを実現することができるのである。さらに、新たにアプリケーションをホワイトリストに追加登録する際も、ダイアログのボタンで簡単に行えるようになっている。また、アプリケーションごとに「他のユーザーがどのような選択をしたのか」という情報が、グラフなど視覚的に提示されるため、判断に迷った際の参考になる。他にも、端末に負荷がかかるスキャンが一切不要であるため、性能が不足しがちなタブレット端末でも快適に使用できる点も特筆に値する。

「これまでできなかった対策ができるようになる反面、カバーできない部分も存在します。UTMなど他のセキュリティ製品と組み合わせることで、本当の意味で安心できるWindows環境を作っていける製品だと自負しています。Webサイトでは評価版も用意しているので、ぜひその効果を実感してください」──石津氏は会場に向けてこう訴えかけ、セッションを閉じた。

なお、「DefensePlatform」を活用した家庭でのセキュリティ環境構築方法の詳細については、今回のセミナーの題材となった書籍(マイナビムック)「PCセキュリティ“超” 向・上・計・画」を参照するといいだろう。