[PR]従来のパターンファイル型では防げない? 最新マルウェア事情と企業セキュリティをシマンテックに聞いてみた

(※この記事は株式会社シマンテックによるPR記事です)

エンドポイント、クラウド、モバイル、仮想化、あらゆるセキュリティとバックアップのソリューション | シマンテック
Symantec Endpoint Protection (SEP) | 企業向けセキュリティソフト

大西 はてな チーフエンジニアの大西です。今日はセキュリティの勉強ができると聞いてやってきました!

松田 はてな 総務部長の松田です。今日は企業向けセキュリティ製品のお話が聞けると聞いてやってきました!

―― えっと、どうしてペアルックなんですか???

【悲報】ペアルック。左が総務部長の松田、右がチーフエンジニアの大西【実話】

大西 これ、先日までキャンペーンを実施していた、はてなブログ2周年記念Tシャツなんですよ(編注:キャンペーンは終了しました)。久々のPR記事への出演なので、張り切って着てきたら……。

松田 僕も張り切った結果、かぶってしまいました……脱いでいいですか……。

大西 同じはてなTシャツを着てきてしまう事案、はてなオフィスでは日常茶飯事ですからね。

着替えタイム。取材当日について「ラフな格好で」と伝えておいたところ、本当にはてなブログTシャツがかぶってしまいました。

―― ふたりははてT! というおふざけはこのくらいにして、本日は「企業セキュリティ」について。総務担当者さんや情報システム部門の方にとって重要なトピックのひとつであるセキュリティ、最近はどういう状況なのかを、シマンテックさんに聞いてみようという趣旨です。本日はよろしくお願いします。

広瀬 シマンテック ビジネスディベロップメント マネージャの広瀬です。本日は近年の企業のセキュリティ対策について、技術者の方でなくても分かりやすいように説明したいと思います。最初に、これまでのセキュリティの典型であった「パターンファイル検出」について簡単に説明しますね。

―― ウイルス対策というと、パターンファイルのイメージがあります。

広瀬 はい。従来は同じ種類のマルウェア(編注:不正な動作を目的とした、悪意のあるソフトウェアやコードの総称)がばらまかれることが多かったので、そこからパターンファイル、いわば「指名手配書」を作成し、そのパターンと照合したものを検出するといった「パターンファイル検出」で対応していました。ですが、最近はそれが通用しなくなっている、というお話をします。

■ パターンファイル検出のアンチウイルスだけでは防げない理由

広瀬 ここ数年のウイルス感染、情報漏えい事件をいくつかご紹介します。2011年9月には、大手製造業などでマルウェアに感染したという報道がありました。2012年11年にも、ある機構の職員のPCがマルウェア感染した結果、重要な情報が漏えいした可能性がある、と報じられました。また、2013年1月には、政府機関でコンピュータがウイルスに感染し、不正な通信が行われた可能性があると報じられました。

ASCII.jp:三菱重工ハッキングでも使われた「自動実行」の仕組みとは?|週刊セキュリティレポート
日本のJAXA新型ロケット情報が、マルウェア感染で流出 « WIRED.jp
ニュース - 農水省へのサイバー攻撃で124点の行政文書の流出の可能性:ITpro

広瀬 なぜだと思いますか? 近年の標的型攻撃の90%はメールからの感染だといわれています。実際にあった標的型攻撃のメールの例は、『震災原発復興関連のご報告』というメールが来て、PDFを開いた瞬間に感染……というものです。このように、現在の標的型攻撃に使用されるメールは、実在の人物や取引先を巧妙に装って送られてくるため、受け取った人も気づかず開いてしまい、また、感染したことにすら気付きません。

標的型攻撃のメールの例(実際にあったものを元にしたサンプル)

松田 こわいですね……。

広瀬 従来は「日本語」が壁になっていて、日本は海外のサイバー犯罪者からすると参入しづらかったんです。でも近年は翻訳ソフトの精度が上がったり、海外のサイバー犯罪者が日本語を操ったりして、自然な日本語で攻撃を仕掛けてきます。

シマンテック ビジネスディベロップメント マネージャの広瀬さん。「セキュリティなので『俺が守る!』的な写真が撮りたいです!」という取材陣の無茶な要望にノリノリで答えてくれました(冒頭の写真を参照)

大西 サイバー犯罪者は海外が多いんですか?

広瀬 実際のところ、どこにいるか確定するのは難しいですね。日本に実際に組織があるかどうか、断定はしづらいです。さて、こうしてメールで始まるわけですが、アンチウイルスソフトなどで対策されている企業が多いはずなのに、攻撃による被害は続いています。近年、特定の企業や団体、組織をねらって仕掛けてくるのは、パターンファイルにはない新型マルウェアだからです。つまり、パターンファイルでの検出だけでは対応しきれないのです。

―― 「新型」ですか。

広瀬 はい。近年は、特定の企業や組織をねらって、それぞれカスタマイズしたマルウェアを送り付けるようになっています。いわゆる「標的型攻撃」ですね。これは、世の中に出回っていない、つまり指名手配書のない初犯の新型マルウェアということ。そうなると、パターンファイルでは手も足も出ないわけです。

以前は同じ種類のマルウェアを大量にばらまいていたので、そこからパターンファイルを作成し対応していた(左)。現在は、カスタマイズされた新型マルウェアでねらい撃ちされるようになったため、セキュリティベンダーもマルウェアを手に入れることができず、パターンファイルが作成できない(右)。

■ 毎日大量に作られる新型マルウェア

広瀬 マルウェアって、1日あたり平均でどのくらい、新しいものが作られるか分かりますか? 2000年は1日5種類でした。さて2011年は?

「100万種類!」「そんなに」

松田 50種類くらい?

大西 1,000種類くらい?

―― じゃあ1万種類で!

広瀬 惜しいですね。正解は1日約100万種類です。

松田 一応ちょっと少なめに言ってみたんですけど(笑)、それにしても100万は多いですね……。

広瀬 自己変化型も多くて、自分でコードを変えて新しくなるものもある。ツールキットを買ってきて、自分でビルドして、対策ソフト買ってきてスキャンして、既存のソフトでは引っかからないことを確認して流したりするわけです。

大西 なるほど。

広瀬 マルウェアは結局ソフトウェアですから、インストールが必要になりますよね。ただ、インストールさせるとなると、標的に怪しいと気付かれてしまう。そこで出てくるのがブラウザやプラグイン、クライアントソフトの脆弱性です。これを悪用して攻撃されると、ユーザーへの警告や確認なしでマルウェアをインストールされてしまいます。エクスプロイト(編注:脆弱性を利用した、悪意あるスクリプトやプログラム。またはそれによる攻撃のこと)されて、強制的にプログラムを送り込まれるのです。警告画面もインストール画面も出ません。

松田 (再現動画を見ながら)うわーこわい……。

広瀬 Webサイトも同じですね。怪しいサイトにはアクセスしないように、だけでは足りません。一般企業のWebサイトが改ざんされてスクリプトが埋め込まれたりもします。

■ Windows XPを使い続けるのは危険

広瀬 以上が標的型攻撃のお決まりのパターンです。まとめると、

  • 偽のメール
  • 新型マルウェア
  • 脆弱性の悪用

という3点セットですね。主に一般従業員のPCがねらわれます。Windows XPをまだ使っている企業、ありませんか?

松田 うちは大丈夫です!

標的型攻撃のお決まりのパターン

広瀬 良かった(笑)。Windows XPのサポートは2014年4月9日で終了します。さて、Windows 2000はサポート終了後、いくつの脆弱性が発見されたでしょう? 正解は27個。1個だけはパッチが提供されましたが、基本的にはサポートが終了していたため、そのままです。XPも同じで、サポート終了後に脆弱性が残り続ける可能性があります。ですので、今後もXPを使い続けるのはとても危険です。マイクロソフトさんも、移行を呼び掛けています。

Windows XP、Office 2003 サポート終了の重要なお知らせ | Microsoft

すっかりお勉強モード。

大西 Internet Explorer独自の機能で攻撃されることも多いですよね。

広瀬 はい。最近の標的型攻撃で、XP上のIE8の脆弱性を突かれたものがありました。

大西 ううう……。

広瀬 近年の標的型攻撃では、250名以下の企業がねらわれるケースが増えています。どのような企業規模でも、知的財産を持っている企業はありますし、それを犯罪者に知られてしまっているんですね。加えて、大手の企業をねらう踏み台としても利用されます。取引先とか、グループ会社宛てのメールを通じて感染する。子会社からのメールはそりゃ開きますよね。

松田 中小企業だと、セキュリティって総務が担当することも多いと思うんですけど、そもそも総務の人はパターンファイルという仕組みがあって……というところから知らない場合がありますよね。僕はパターンファイルは知っていましたが、それが効かなくなっているというのは初耳でした。総務ももっと勉強しないといけないですね。

大西 Web開発者でも、セキュリティに詳しくない人だと、自分が使ってるのはMacだから大丈夫だろう、みたいな人はいますよね。

■ iPhoneアプリ開発者向けのサイトが改ざん→マルウェア

広瀬 実際のところ、Macユーザーの財産が、犯罪者にとって「おいしい」かどうかが問題なんです。iPhoneアプリ開発が盛んな現在、iPhoneアプリ開発者はMacを使っていますから、Macは大変「おいしい」状態なんです。

はてな チーフエンジニアの大西。はてなブログのプロデューサーでもある。今回はエンジニアとして、またWebサービス事業者としての立場で参加。

大西 実際、Mac向けの攻撃は増えてるんですか?

広瀬 増えています。最近の水飲み場攻撃で、Macをねらった事例がありました。

―― 水飲み場攻撃?

広瀬 サバンナでは、動物は水飲み場に集まりますよね。それらの動物を食べる肉食獣や、狩りをするハンターたちは、そこをねらいます。こうしたサバンナの動物社会と同じように、セキュリティの世界でも「攻撃対象が集まるところをねらう」という考え方があって、水飲み場攻撃と呼びます。実際に、iPhoneアプリ開発者向けのサイトを改ざんして、マルウェアを仕込んで、ブラウザの脆弱性をついて攻撃……なんてことがありました。「おいしい」iPhoneアプリ開発者をねらったんですね。相当に高度な攻撃です。

―― えっ、アプリ開発者向けサイトを改ざん……!

大西 WordPress改ざんとかもありますしね。それこそ弊社でも、はてなブログに脆弱性があったら、有名ブロガーさんのブログが改ざんされて……という可能性が発生してしまいますから、その辺りは特に注意しています。

広瀬 以上のような話をすると、総務の方は必ず「今まで誰も説明してくれなかった!」とおっしゃるんですね。総務さんも忙しいので、なかなか情報収集をする時間がないのでしょう。小さな規模の企業だと、総務さんがヘルプデスクを兼任している場合もあって、大変ですよね。総務の人同士で情報交換がもっとできると良いですよね。

松田 確かに……。

広瀬 セキュリティの話は皆さま、漠然と危機感は持っているのですが、どうしても技術系の記事だと難しい、となってしまうんですね。

大西 確かに、技術的なことだと読んでも分からなそうですね。

松田 正直、セキュリティソフトはどこも一緒という印象がありますよね。そうすると、総務はコストで判断してしまう。

■ IPS、SONAR、Insightの三位一体

―― といったところで、自然な流れでシマンテックさんの製品の話に突入するわけです。PR記事っぽい! PR記事ですからね、そりゃそうですね。

広瀬 「Symantec Endpoint Protection 12」という製品を提供しています。この製品では、第5世代のセキュリティ技術を実装しています。第1世代はここまでにも話が出てきた「パターンでの検出」。続く第2世代が「サンドボックスヒューリスティック」という、仮想マシン上でシミュレーションして脅威を検出する技術です。ここまでは基本的なプロテクションでした。Endpoint Protectionはこの上に、第3~第5世代のプロテクションを乗せています。

  • 第3世代:IPS(脆弱性対策)
  • 第4世代:SONAR(リアルタイム挙動分析)
  • 第5世代:Insight(アプリ安全評価システム)

パターンマッチングから始まったシマンテックのセキュリティソフトも、現在は第5世代に。

● IPS(脆弱性対策)

広瀬 まずはIPS、不正侵入防止からご説明しますね。これは攻撃される際のコマンドを事前にブロックする仕組みです。PC上で通信パケットをリアルタイムにモニタリングし、攻撃パターンを見つけてブロックする働きを持ちます。通信の中にあるマルウェアを見つけるわけではなく、通信の中から攻撃の兆候や特徴を見つけてブロックします。

松田 クライアントソフト側に入ってるんですね。ネットワーク型だと思ってました。

広瀬 皆さん、そう言われるのですが、クライアント側に入れると脆弱性をねらった攻撃に対する防御力が高まります。OSやブラウザのバグ、脆弱性を突いた攻撃も事前にブロックできるのです。IPSでブロックした場合、その情報がシマンテック側に上げられます。統計情報を見ると、攻撃の5割をIPSでブロックしています。脆弱性を突く攻撃がいかに多いかということですね。

● SONAR(リアルタイム挙動分析)

広瀬 続いてSONARです。プロセスの約1,400の挙動をリアルタイムに監視・分析します。コンビニなど現実世界でのお店に例えると、ちょっと怪しいお客さんがいるぞ!ということで監視をするわけです。そのお客さんが、お菓子をポケットに入れて、レジを通って……というところをリアルタイムで監視して、お店を出たらアウト! ここで逮捕する感じです。

―― 分かりやすい。

広瀬 でも、その人、実は業者さんかもしれないですよね。そうすると誤認逮捕になってしまう。そうならないように、熟練が必要なんです。例えば、レジストリを勝手に書き換えているとスコアが上がっていって、一定のスコアを超えたら逮捕、みたいな。しかも自己学習します。先ほどのIPSと連動していて、「SONARは通したけどIPSがブロックした」場合、SONARは自分で洗い直して、学習するようになっています。

大西 SFっぽい!

SONARの仕組み。プロセスをリアルタイム監視する。分析ルールは日々アップデート。

● Insight(アプリ安全評価システム)

広瀬 最後にInsightです。

シマンテックインサイト – レピュテーションに基づく次世代保護技術 | シマンテック

広瀬 世界中のシマンテックユーザーがダウンロードしたりインストールしたりしたアプリの情報を収集して、安全評価のデータベースを構築しています。ある実行可能なファイルが、全世界で何人に使われているか、どれくらい存在しているか、どこが提供元か……が分かるようになります。だから、あるソフトウェアをインストールしたらInsightに問い合わせて、長期間にわたって多くの人が使っていれば安全、と判断できるわけです。逆に利用者数が少なかったり、定着者が少ない場合は、危険ですと警告を投げます。

Insightの仕組み。画像内で「定義ファイル」と書かれているものは、本記事で「パターンファイル」と呼んでいるものと同じ。

松田 おおー。

広瀬 統計値を使った安全性ですね。さらに、Insightがあるおかげで、SONARにもメリットがあります。Insightで安全性を評価したあと、怪しければSONARがチェックするという順番になるため、SONARはすべてをチェックする必要が無くなります。

―― なるほど、順番に。つまりSONARは全部をチェックするわけじゃないから、リアルタイムでプロセス挙動を監視するといっても、PCが重くなりづらいんですか?

広瀬 そういうことです。全部をSONARでチェックしようとすると、メモリが大変なことになってしまいますからね。

―― SONARやInsightのお話を聞いていて、現行犯逮捕であったり、怪しいっぽいので先に捕まえるぞ!という感じなので、誤検知と表裏一体だなと思ったんですね。その点はいかがですか?

広瀬 それも、IPS、SONAR、Insightが連動することで減らすことができるわけです。Insightで怪しいものはいきなり逮捕ではなくて、SONARやIPSがチェックします。逆に、Insightが安全だと判断した情報は、SONARにフィードバックされて精度向上につながります。

松田 うーん、めっちゃすごいですね。

IPS、SONAR、Insightが連動することで、精度が上がっている

―― InsightのDBは実用化されるまでに相当のデータを集める必要があったと思うのですが、どのくらいの情報を、どのくらいの時間かけて構築したんですか?

広瀬 1億7500万以上のクライアントから、6年近くかけて構築しました。今もなお、その情報は増え続けています。

―― ひええ。

広瀬 今後、Insightはモバイルにも入っていきます。どうしてもモバイル端末だとSONARによるリアルタイム監視は厳しいのですが、Insightが見て、怪しくないものをインストールする、という風にできます。

―― Appleが厳格にアプリストアを管理しているiOS端末ならともかく、Android端末は対策の必要性が上がっていそうですね。

■ 総務部長による質問タイム

松田 いくつか質問したいのですが、いいでしょうか?

はてな 総務部長の松田。セキュリティソフトなどの導入を決める立場として参加。終盤は取材だということを忘れていた気がする。

―― あっ、導入担当者の目になった……。

松田 Insightで、どのような情報がシマンテックさんに提供されているのかが気になります。

広瀬 ファイルのハッシュ値などです。個人情報はもちろん、ファイルの内容はとっていません。

松田 現在、他社の製品を使っていて、乗り換えたいというケースが多いと思うのですが、移行するときに楽かどうかはいかがですか?

広瀬 ふふふ、そう来ると思っていました。

―― こっちは「こんなこともあろうかと」みたいな目になった……。

広瀬 既存の環境にインストールした時点で、他社のソフトをクリーンにしてくれるようになっています。管理サーバを立てるとプッシュ配信もできるので、一般従業員に手間を取らせず移行できます。

松田 対応OSは?

大西 弊社、Linuxとかもいますからね。

広瀬 Windowsはクライアント系もサーバ系も、Mac OS系も、そしてLinuxも全部対応、かつ一律同じ料金です! ただし、ノードごとに課金対象になります。あと、Linuxはまだ管理サーバから集中管理できないので、そこは来年までお待ちください。

Symantec Endpoint Protection 12 比較レポート& 無償体験版 | シマンテック(他社比較データ/コスト)

大西 本当に導入検討会みたいになってきた……。僕からは、やっぱりPCが重くならないかが気になります。

広瀬 物理メモリが1GBを切ると、さすがに厳しい。でもそれ以上あれば大丈夫ですよ。

大西 なるほど。弊社はエンジニアだと全員8GB以上ですから、問題なさそうですね。

松田 僕ですら8GBですからね(笑)

大西 僕は16GBですよ!

―― 張り合わなくて良いですよ(笑)

広瀬 いいですねー、うらやましい。

大西 デザイナーだと8GBじゃ足りないという場合もありますし、基本的にマシンは良いものをしっかり使うという文化なので。

■ 着替えに始まり着替えに終わる

シマンテックポロシャツ着用。

―― ということで、本日は最近の企業セキュリティ事情から、最終的に松田さんが導入検討のためのヒアリングに突入するという感じでございました。

松田 面白かったです!

大西 改めて、いろいろ勉強できて良かったです。弊社はユーザーさんのデータも持っていますから、ちゃんとしないといけないですしね。

―― お互いがんばりましょうということで、最後にユニフォームの交換などを

大西 えっ???

広瀬 あ、シマンテックのポロシャツ、ありますよ。

(大西着替え中……)

大西 どう?

―― ばっちりばっちり。

大西 では、はてなTシャツを広瀬さんに。今日は本当にありがとうございました。

―― ここまでお読みいただいた読者の皆さまには、シマンテックさんの個人向けセキュリティソフトをプレゼント! 詳細はこのすぐ下です。

はてなTシャツ授与。

■ 個人向け「ノートン™ セキュリティ with バックアップ」を5名様にプレゼント!

※キャンペーンは終了しました。たくさんのご応募、ありがとうございました。

シマンテックの個人向けセキュリティソフト「ノートン™ セキュリティ with バックアップ」パッケージ版を5名様にプレゼントします。記事で紹介した企業向け製品と同様に、第5世代セキュリティを搭載しています。

応募方法は、Twitter連携した上で、この記事をはてなブックマークに追加するだけ。詳しくは、下の応募要項をご覧ください。

応募要項

  • 応募期間
    • 2013年11月27日(水)から2013年12月10日(火)24時まで
  • 賞品と当選人数
    • ノートン™ セキュリティ with バックアップ パッケージ版:5名様
      • ※個人向けのセキュリティソフトウェアです
  • 応募方法
    • Twitter連携した上で、この記事をはてなブックマークに追加
      • ※プライベートモードでご利用の方は対象となりません
  • 当選発表
  • 賞品発送
    • 当選発表後、はてなよりメールをお送りし、送付先情報(送付先住所、受取人氏名、電話番号)をお聞きします
    • ※プレゼントの発送は日本国内に限らせていただきます

[PR]企画・制作:はてな
写真:赤司聡