無防備な瞬間を狙われるゼロデイ攻撃をどう防ぐ?

内部対策セキュリティセミナー情報

情報セキュリティ意識改革セミナー詳細→こちらから

ゲートウェイからエンドポイントまでの包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ株式会社(以下チェック・ポイント社）。同社が発表した「2015 セキュリティ・レポート」では「34秒分に1回、未知のマルウェアがダウンロードされる」と報告がなされている。そして、これら未知のマルウェアによってもたらされる脅威の一つに「ゼロデイ攻撃」がある。

2016年2月25日東京マイナビセミナールームにて開催される「情報セキュリティ意識改革セミナー」。今回、当日のセッションに登壇予定のチェック・ポイント社セキュリティ・エキスパート小高克明氏に、深刻なセキュリティ脅威と言われる「ゼロデイ攻撃」の実態とその対策について解説いただく。

対策が行われるまでのタイムラグを狙う「ゼロデイ攻撃」

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社システム・エンジニアリング本部セキュリティ・エキスパート小高克明氏

「ゼロデイ攻撃」とは、未知のマルウェアやソフトウェアの脆弱性が発見された際、その対策や修正プログラムが公開されるまでの間を狙って仕掛けられる攻撃のことを指す。チェック・ポイント社の報告によると「アンチウイルスやIPS(侵入防御サービス)が未知のマルウェアを検出可能になるまでには平均3日、一部のマルウェアは数か月、場合によっては何年も検出されないまま活動を続ける」ことがあるとのことだ。

「未知のマルウェアは、定義ファイルで過去のパターンと照らし合わせる従来型のウイルス検知ソフトでは発見することができません」(小高氏)

2014年に発見された新種のマルウェア数は1億4,200万。これは前年比で71%の増加となっている。昨今では、新種のマルウェアを作成するツールも数多く存在する。この数字は、今後も上がり続ける可能性は高く、それに伴いゼロデイ攻撃を受ける危険性も増すことだろう。

「我々は、Security Checkupという無料のセキュリティ診断サービスを実施しています。それを行うと、6割以上のケースにおいてウイルス対策ソフトを導入しているにもかかわらず、マルウェアが原因と思われる異常な挙動が検出されるのです」(小高氏）

独自の「サンドボックス技術」によって未知のマルウェアを検知

このような、未知のマルウェアや脆弱性を突いたゼロデイ攻撃への対策として、サンドボックス技術を利用した検知方法がある。サンドボックスとは、外部から渡されたファイルを保護された仮想空間などで動作させ、挙動をシミュレートする技術のこと。ここで外部との不正な通信などが見つかれば、それは公表されていない未知の脅威だと判断できることになる。

「ただ、昨今のマルウェアは通常のサンドボックスでは検知できない“エクスプロイト”による攻撃手法を利用する場合もあります。そこで私たちはサンドボックス機能にCPUレベルで挙動を検知する独自の技術を追加したサービスとして、SandBlast - Threat Emulationを提供し､更に添付ファイルを無害化するSandBlast - Threat Extraction機能も提供しています」(小高氏)

2016年2月25日に行われる小高氏のセッションでは、このSandBlast Zero-Day Protectionソリューションについての詳細のほか、マルウェアに感染した際に有効なエンドポイント・フォレンジック機能､エンドポイント側で未知のマルウェアを検査するサンドボックス･エージェント(正式名: SandBlast Agent)、モバイル向け脅威対策などについても解説予定となっている。

また、同日に発表予定であるチェック・ポイント社の新製品についても、最新の情報が公開されるとのことだ。