連載
» 2014年10月21日 18時00分 公開

サイバー攻撃の今、昔(後):サイバー攻撃から“身を守る”手法、その歴史を知る (4/5)

[太田 浩二(トレンドマイクロ株式会社),@IT]

「未知の脅威対策」普及度が低いファイルをどう判断するべきか

 トレンドマイクロにて特定の不正プログラム検体について調査を行った結果、約96%の亜種は、「普及度が低いファイル」であることが分かりました。ということは、それらの不正プログラムは、ごく少数の人たちにしか流通していないということになります。

 多くの人が同じ種類の不正プログラムに感染することにより、その深刻さを測るのが昔の常識でしたが、対象者を特定して攻撃する手法が出現してきている今、まったく逆の状況になっています。最終章では、いかにそういった脅威からIT環境のセキュリティを担保するために、セキュリティベンダーは日々格闘し新しい技術を展開しているかについて紹介します。

“昔”——パターンマッチング、ヒューリスティックルールの“限界”

 昔は、パソコンが不正プログラム感染すると明らかにおかしな症状が表れました。ファイルが消える、特定のWebサイトしか開けない、画面がロックされる、おかしな画面が表示される、ポップアップが出続けて消えないなど、さまざまな感染の症状がありました。その際は、セキュリティベンダーによる対策ができていない場合でも、怪しいファイルを収集するツールを利用した解析依頼を行って、(不正プログラム)パターンや復旧ツールが入手可能でしたし、今も入手できます。現在でもそういった基本的な対応は非常に重要ですが、そのためには、感染やその疑いに気付くことが必要です。

 未知の不正プログラムを見つける手法であるヒューリスティックルールは、さまざまな種類があります。例えば、プログラムの動きをエミュレーションし、不正コードを埋め込む活動が確認された場合、不正プログラムの疑いあり、として検出します。また、複数の既知の不正プログラムの共通点から新たな不正プログラムを発見する技術などがあり、亜種対策ともいえます。

 ヒューリスティックルールを高い精度に保つためにも、多くの不正プログラム検体が必要となります。現在でもこれらの技術によって新たな脅威が発見されていますが、一つの不正プログラムに対し感染端末が非常に少ない状況で、セキュリティベンダーにとっても膨大な数の不正プログラム検体全てを収集することは不可能に近くなりました。

“今”——振る舞い検知とファイル普及度の活用

 では、この状況にどのように対応しているかを解説しましょう。まずは「最低限の検体収集での対策技術」を高めることが挙げられます。

 最近のサイバー攻撃では、対象ごとに亜種を大量作成するため、展開イメージをファイルとして作成せず、メモリ中のみで実行が可能な「パッカー」が利用されることがあります。また、不正サーバーで難読化、暗号化、圧縮(パック処理)といった変異処理を行い、同一の不正プログラムから多数の亜種を作成する「サーバーサイド・ポリモーフィズム」といった手法も利用されています。

 悪質な場合には、ユーザが不正サイトに誘導され、アクセスごとに異なる亜種が作成されることがあります。しかし、不正プログラムの動き、「振る舞い」は一緒のままです。そのため、第一章「ウイルス対策の歴史、それは膨大な亜種との戦い」で述べたような振る舞い検知により、起動した不正プログラムのプロセスを監視し、何に対して、何をし、どう対処するか、といったことをルール化し、通常のアプリケーションでは行われない活動に関して監視、防御することが必要です。

関連リンク

パッカー(トレンドマイクロ セキュリティ・ナレッジ)

http://www.is702.jp/dictionary/detail/yougo/ha/id/3/

サーバーサイド・ポリモーフィズム(トレンドマイクロ セキュリティマガジン TREND PARK)

http://www.trendmicro.co.jp/jp/trendpark/coretech-threatintelligence/malware/20130819044851.html


 上述したように、最近の不正プログラムは対象ごとに作成可能です。もし、攻撃対象が一人で、しかも不正プログラム検体も入手できない場合、どう対応することができるでしょうか。

 ファイル普及度チェックの新しいアプローチとして、「安全なファイルはより普及している」、つまり「あまり普及していないファイルは危険度が高い」というアプローチが必要になってきています。通常のプログラムやアップデートされてインターネット上で配布されるプログラムは、数千、数万単位で普及しています。それに対して、一桁や二桁しか普及していない場合、未知の脅威の可能性を考える必要があります。そういった判断基準を既存技術と組み合わせて、より高い精度で未知の脅威を検出することが、今、セキュリティベンダーには求められています。

 大規模感染は未だに存在し、「Downad」のように継続して多く検出されるものも存在しています。しかし、本当に今、サイバー攻撃の被害をもたらすものは、対象ごとに異なる攻撃で被害をもたらすような標的型攻撃やオンラインバンキング詐欺と同様に、攻撃対象ごとに変化が伴うものです。さらに、対象ごとに作成された亜種の検体は、攻撃手法を特定することが非常に困難なため、攻撃を再現できないことがあります。

 そういった未知の脅威に対しては、従来のアプローチでは限界があります。そのため、ユーザがアクセスする新しいファイルやURLがいかに普及していないものかという観点で、それを補足する材料を積み上げて高い確度で未知の脅威を特定することが、最新のサイバー攻撃への対応策として必要となってきています。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。