Tweet

ハニーモンキーにMapReduceも活用

3つの要素を組み合わせたマカフィーのセキュリティ基盤、GTI

2010/09/17

　マカフィーは9月16日に「McAfee Security Summit 2010」を開催した。これに合わせて来日した米マカフィーのバイスプレジデント、Threat Research担当クリス・ジョーダン氏は、＠ITの取材に対し、同社のセキュリティ製品を支えるクラウド基盤、GTI（Global Threat Intelligence）について説明した。

　GTIは、世界中からインターネットを介して収集した情報を基に脅威の動向を分析し、ウイルス対策ソフトやIPS、ファイアウォールといった同社製品に、最新の情報を提供する役割を果たしている。以下、ジョーダン氏のコメントをまとめた。

3つの要素を組み合わせて解析

　GTIは、セキュアコンピューティングの買収に伴い加わったTrustedSource、SiteAdvisor、それにマカフィーが元々開発してきたArtemisという3つのコンポーネントから構成されている。GTIはこれらを組み合わせ、統合したもので、レピュテーションに基づいて包括的に脅威を検出する。

米マカフィーのバイスプレジデント Threat Research クリス・ジョーダン氏

　TrustedSourceは、ネットワークサービスの視点で何が起こっているかを把握するものだ。ネットワーク機器からデータを収集し、偽造した電子メールや不正な電子メール、あるいは不正な挙動のサイトなどに関する情報を収集する。

　SiteAdvisorは、リアルタイムにWebサイトのレピュテーションを行い、ユーザーに知らせる。そのサイトに含まれるリンク先が不正なものかどうかなど、何百もの項目を調査して、Webサイトの評価を下す。

　もう1つのクラウド技術がArtemisだ。マカフィーが20年以上蓄積してきたマルウェアの情報を収集したデータベースで、ウイルス対策製品による保護を補完する。Artemisのデータベースに照会を行うことで、最新の情報を利用しながら、ウイルス定義ファイル（DATファイル）のサイズを抑えることができる。

　GTIのメリットは、最新の脅威に素早く対処できることだけではない。最近の攻撃の中には、古いウイルスが使われることもある。昨年韓国で発生したDoS攻撃では、攻撃元となったボットはMyDoomを使っていたし、中東でも最近、2003年頃に一世を風靡したSubSevenが再び流行した。

　こうした古いウイルスはコードが安定していてバグが少ないうえに、あまりに古いため最新のDATファイルからは省かれている。攻撃者はそれを見越して、こうした古いウイルスを使い始めたのだ。しかしGTIを活用すれば、最新のウイルスと同時に、DATから消された過去のウイルスも検出できる。

　マカフィーは同時に、DATファイルやシグネチャといった既知の情報に基づく検出や、シェルコードの挙動を解析するヒューリスティック検出技術の強化にも努めている。これらにGTIのレピュテーションを連携させ、組み合わせて使うことで、脅威に対処していく。

解析にはMapReduceも活用

　マカフィーでは脅威を見つけ出すために、さまざまな技術を使っている。その1つが、SiteAdvisorが実装している「ハニーモンキー」だ。

　これはハニーポットに似た技術だ。ハニーポットの場合はサーバを設置し、そこにやってくる攻撃者の挙動を観察して情報を収集する。これに対しハニーモンキーは、外部のURLにアクセスし、そこにどんな不正なファイルがあるか、どんなマルウェアに感染するかを試して悪質なサイトの調査を行う。というのも、最近の攻撃は、スキャンして標的を攻める代わりに、ユーザーを外部のWebサイトに誘導して、訪問者を感染させるからだ。

　GTIでは、TrustedSource、SiteAdvisor、Artemisから得られる3種類の情報を相関分析し、脅威を見つけ出している。例えば、あるURLが不正であることが分かれば、そのサイトからダウンロードされるファイルもまた危険であると考えられるし、あるIPアドレスが不正なものならば、同じIPアドレスを使っているほかのWebページもまた不正なものである可能性が高い。

　URLとIPアドレス、ファイルという3つの要素のバランスを評価し、スコアを付けている。エンドユーザーには「危険」から「信頼できる」まで、4種類程度の指標で表示するが、実際には-140から+140までの細かな数値を使って評価を下している。

　時間軸も重要な要素の1つだ。長く使われているドメイン名よりも、新たに取得されたばかりのドメインの方が怪しいといった傾向がある。これも含め、とにかく多様な要素を関連付け、解析を行っている。

　こうした分析を迅速に行うため、MapReduce技術も用いている。MapReduceには、大規模なデータを高速に、分散環境で処理し、しかも冗長性を確保できるというメリットがある。この技術を採用した大きな理由は「スピード」だ。問題を特定してダメージを最小限に抑えるには、「速さ」が勝負であり、われわれのテクノロジの多くではスピードを重視している。

　例えばDATファイルの作成に際し、平均的なアナリストならば、1つのウイルスの解析に1時間程度を要する。これが優秀なエンジニアならば5分程度でできるけれど、いずれにせよ1日に10万もの新種、亜種が登場するいまでは、1日中一生懸命働いても間に合わない。

　そこで、マルウェアの分類をある程度自動化し、グルーピングを行って優先順位を付けている。重要性の高いものは経験を積んだエキスパートが解析を行うが、比較的優先順位の低いものは処理を自動化している。

脅威そのものよりも配布手段に変化

　脅威は常に変化し続けているものだが、最近は強いていえば、マルウェアそのものよりも、それを配信する手段、メカニズムの方に変化が起こっている。

　その1つが難読化だ。Operation Auroraに利用された攻撃コードは、リンクをクリックするだけで感染するタイプだったが、ペイロードは3回難読化が施されていた。ほかにも難読化を使う悪質コードは多い。リバースエンジニアリングを困難にするパッカーを使うケースもある。

　特にJavaScriptなどはやっかいだ。通常の利用に支障が生じることを考えると、Webブラウザ側でJavaScriptを無効にするのは現実的ではないが、その結果、攻撃コードもまた自動的に実行されてしまう。本来、海賊版や違法コピーを防止するための技術である難読化の技術が悪用されている。

　もちろん、シェルコード自体にも変化があり、Windows 7が備えるASLRやDEPといったセキュリティ機構をバイパスするような手法が報告されている。だがそれ以上に発展が目覚ましいのは、JavaScrpitやAdobe PDFの脆弱性を狙うコードの配信手法だ。

　GTIは、こうした脅威に対する迅速な反応を可能にする。DATを更新して、確実に対処するまでの時間をうまく稼いでくれる。