マカフィー、リバースエンジニアリング解析も使った標的型攻撃対策製品：シグネチャでもサンドボックスでもまだ不完全

　マカフィーは2013年10月31日、標的型攻撃への対策に特化したセキュリティ製品「McAfee Advanced Threat Defense」の国内提供を11月20日から開始すると発表した。サンドボックスを用いたマルウェアの動的解析に加え、コードの静的解析によって、検知率の向上を図っていることが特徴だ。

　McAfee Advanced Threat Defenseは、米マカフィーが2013年2月に買収した米バリッドエッジ（ValidEdge）のサンドボックス技術を活用したアプライアンス型の製品だ。マカフィーのIPS製品「McAfee Network IPS」やWebゲートウェイセキュリティ製品の「McAfee Web Gateway」、エンドポイント製品と連携して、明確に「クロ」と判定しきれないが怪しいファイルを解析し、その結果をフィードバックして防御の強化を支援する。

　具体的には、従来から提供してきたシグネチャベースのウイルス検出や、クラウドベースの脅威情報データベース「Global Threat Intelligence（GTI）」を参照してのレピュテーション、ブラウザやPDFなどのエミュレーションといった手段によって、疑わしいファイルかどうかを判定する。もしそれでも判別が付かない場合は、サンドボックスを用いた動的解析とリバースエンジニアリングによる静的コード解析によって、当該ファイルがどのような挙動を取るか、既知のマルウェアのコードとどの程度類似しているかを解析し、マルウェアかどうかを判定する仕組みだ。

　昨今増加している標的型攻撃は、ゼロデイ脆弱性を狙ったり、特定の環境でしか動作しないようにするなどステルス化が進んでおり、シグネチャに頼る従来からの方式では検出が困難だ。そこで注目を集めつつあるのが、隔離された仮想環境でファイルを実行し、挙動を見ることでマルウェアかどうかを判定するサンドボックス技術である。ただ、サンドボックス技術は、「システムのリソースを多く消費し、解析にも時間が掛かるためリアルタイムの検出が困難だ」（マカフィー テクニカル・ソリューションズ ディレクター ブルース・スネル氏）。

　残念ながら、「多層防御では、高度なマルウェアを完全に防ぐことは困難になっている」（スネル氏）。

　加えて、必ずしもサンドボックス上で示した挙動がすべてではないという課題もある。マルウェアの中には、偽装工作を目的に、特定のハイパーバイザ上では動作しないようにしたり、特定の環境や時間にしか動作しないようなロジックが組み込まれているものがある。事実、同社が解析したあるマルウェアの場合、サンドボックスによる動的解析では、コードのうち53％は把握できても残り43％についてはカバーできず、どんな挙動を取るかが分からなかった。

　McAfee Advanced Threat Defenseは、動的解析と連動したリバースエンジニアリングによってプログラムの内部的な構造を分析し、いっそう高い精度でマルウェアを検出できるようにする。こうしてマルウェアと判断されたファイルのハッシュ情報は、他のセキュリティ機器やGTIにフィードバックされ、以降はブロックする仕組みだ。

　複数の検出手段を用いて怪しいファイルを絞り込み、それでもまだ残る不明なファイルにのみ動的解析／静的解析を実施することで、パフォーマンスを改善していることも特徴だ。「サンドボックス技術に静的解析を組み合わせることで検出率の向上を図り、パフォーマンスと防御の適切なバランスを実現する」とスネル氏は述べた。

　McAfee Advanced Threat Defenseには、1日当たり15万ファイルの解析が可能な「ATD-3000」と、25万ファイルまで解析できる「ATD-6000」の2モデルがある。価格は、ATD-3000が1214万9860円から。