【インタビュー】「ベストオブブリード」の視点から選ばれた標的型攻撃対策とは

　セキュリティ対策に必要な機能をひとつのコンパクトなアプライアンスにまとめたUTM「XTMシリーズ」を展開するウォッチガード・テクノロジー・ジャパン。

　2014年4月には、新たに標的型攻撃対策として、米Lastline社のクラウド型次世代サンドボックス技術を使用した「WatchGuard APT Blocker」を新機能として発表した。UTM内のそれぞれのセキュリティ機能に対して最適な技術を組み合わせる「ベストオブブリード」を掲げる同社がLastline社を選んだ理由など、新機能について同社マーケティングマネージャ堀江徹氏とプリセールスエンジニア正岡剛氏に話を聞いた。

――最近の標的型攻撃の傾向などについて教えてください。

堀江氏――企業をターゲットとした標的型攻撃は依然として活発に行われており、攻撃の50％が従業員数2,500名以上の大企業を標的としています。しかし、見方を変えれば半数は従業員数2,500名以下の中小企業が標的になっているわけです。近年では特に250名以下の小規模企業が被害を受けるケースが増加しており、2011年から3倍に増加、今では攻撃全体の31％を占めるまでになっています。中小規模企業では予算や人員の関係から十分なセキュリティ対策ができておらず、標的型攻撃に対するセキュリティ意識も高くはないのが現状です。しかし、中小企業は大企業との取引もあるため、重要な情報を持っているケースもあります。また、大企業や政府機関への攻撃の踏み台として利用されるケースもあり、現在は、中小企業においても標的型攻撃を視野に入れたセキュリティ対策が必須となっています。

――新たに搭載した標的型攻撃対策について教えてください。

正岡氏――今回、Lastline社の標的型攻撃マルウェア対策を「WatchGuard APT Blocker」として搭載しました。Lastline社は、2011年にカリフォルニアで設立された会社で、設立までに8年の研究開発を経るなど技術的なバックグラウンドが豊富な会社です。専門化に広く知られるマルウェア分析のための「Anubisシステム」を開発した実績を持っています。

　最近の標的型攻撃に使用されるマルウェアは、サンドボックスの回避機能を備えている場合も多くあります。例えば、最新の攻撃者向けのゼロデイ攻撃作成ツールにはアンチサンドボックスという機能が搭載されており、サンドボックスを潜り抜けられるかどうかを確認する仕組みを持っています。一般的なサンドボックス型のセキュリティ製品は、疑わしいファイルを仮想環境などのOS上で実際に動作させ、C＆Cとの通信や他のマルウェアをダウンロードするといった動作が確認された場合に「危険なもの」と判断し、シグネチャに追加する手法を使用しています。。

　しかし最近の進化したマルウェアは、サンドボックスで実行されることを検知すると、これを回避するために様々な手法をとります。一つの例としてSleepによる回避があげられます。サンドボックスでの検知は数分ですので、Sleepコマンドにより活動を休止し、サンドボックスによる検知を回避するわけです。

　「APT Blocker」の最大の特徴は、CPUやメモリまで再現する「コード・エミュレーション」によって、このような回避的な振る舞いを検知することができることです。

　この「次世代型フルシステムエミュレーション」により回避型マルウェアの検知を可能にしています。