WithSecure(ウィズセキュア、旧社名: F-Secure)は2月22日、マルウェアが及ぼす被害を本質的にロールバック(復元)することが可能な新技術「Activity Monitor」を開発したことを発表した。

既存2製品のいいとこ取りな「Activity Monitor」

まず、WithSecure リードリサーチャーのBroderick Aquilino(ブロデリック・アキリーノ)氏が、Activity Monitorの前提となる既存ソリューション「DeepGuard」と「SandViper」を紹介した。

  • WithSecure リードリサーチャーのBroderick Aquilino(ブロデリック・アキリーノ)氏

    WithSecure リードリサーチャーのBroderick Aquilino(ブロデリック・アキリーノ)氏

DeepGuardは悪意があると判断された挙動を監視し、ブロックを行う。しかし、挙動を個別にみると悪意がないことが多く、一部の挙動は不可逆的のためダメージを受ける前にブロックをしなければならず、不完全な表示で誤検出を招くほか、システム速度を低下させないために設けられた最大命令数の制限で、さらに悪化する場合があるという。

  • 「DeepGuard」の概要

    「DeepGuard」の概要

また、SandViperは疑わしいアプリケーションを安全に実行・解析できる空間を提供している。通常、アプリケーションの実行には数分の遅延が必要となり、ターゲットと異なる環境で実行させた場合、サンプルの挙動が異なる可能性がある。エンドポイントサイドでの保護にはあまり適さず、繰り返し処理によりシステムの差分が発生することから、ノイズが多くなるといった課題がある。

  • SandViperの概要

    SandViperの概要

そのため、Activity Monitorは「サンドボックスの環境でエンドポイントユーザーエクスペリエンスを犠牲にせずに解析できる。つまり、両製品のいいとこ取りというわけだ。SandViperの振る舞いを可視化するとともに、DeepGuardのようなエンドポイントにおける使い勝手の良さを提供してくれる。また、同時にプロセスの処理を迅速にできる」とアキリーノ氏は説明する。

ランサムウェアやそのほかの脅威への対策をサポートし、ランサムウェア感染に対抗するための新しいツールとなり、大半のランサムウェアは、被害者のデータを暗号化し、身代金と引き換えに復号化キーを提供するが、このような変化を検知するように作られている。

暗号化プロセスを検知すると、そのプロセスを停止させ、データを暗号化されていない状態に復元。アプリケーションの挙動を非同期で解析し、ファイル・システムの設定変更のバックアップを作成することに加え、管理者用のアクティビティレポートを生成する。将来的には送信ネットワーク接続の抑制も可能にしていくという。

  • 「Activity Monitor」の概要

    「Activity Monitor」の概要

ただ、アキリーノ氏は「バックアップソリューションではなく、監視対象セッションではない場合や悪意がないと判断されたセッションでは暗号化されたファイルは復元できず、盗まれたデータの復元はできない」とも話している。

  • Activity Monitorでロールバック後のイメージ。通知も発報される

    Activity Monitorでロールバック後のイメージ。通知も発報される

次世代の振る舞い検知エンジンとして

また、Activity Monitorは、そのほかの既存テクノロジーとの併用を可能とし、EPP(エンドポイント保護プラットフォーム)ソリューションの振る舞い検知を向上させることができる。EDR(エンドポイント検知&対応)ソリューションは、同ツールを使用して変更をロールバックする場合があるという。そのほか、バックエンドでSandViperのトレーサーとして使用を可能としている。

さらに「Elements Endpoint Protection for Servers」の新機能である「Server Share Protection」は、ネットワーク内の感染したコンピューターから共有フォルダがランサムウェアで暗号化されないように保護し、Activity Monitorを活用した最初の機能となる。

  • 「Server Share Protection」の概要

    「Server Share Protection」の概要

今後、次世代の振る舞い検知エンジン「Activity Monitor for Application」として、複数のプロセスを個別ではなくグループとして分析を行うとともに、プロセスの初期にブロックすれば誤検出のリスクが高くなることから、後のプロセスでブロックして変更をロールバックするなど、より詳細な検査を可能にしていく方針だ。