未知の脅威に対抗する「先読み対策」とは
ウイルス対策ソフト(パターンマッチング技術)の限界
2014年5月、ある有名なウイルス対策ソフトベンダー幹部の 「ウイルス対策ソフトは死んだ」 という発言が話題になりました。 発言内容によると、ウイルス対策ソフトが検知できるのは攻撃全体の45%だけであり、55%の攻撃は防御できていないということです。 コンピュータ・ウイルス、スパイウェアなど、悪意のある目的を持ったマルウェアが急速に増え続けているため、検査対象のプログラム(マルウェア)と、パターンファイル(マルウェアのデータベース)をマッチングすることでマルウェアを検知・防御する仕組みのパターンマッチング型のウイルス対策ソフトでの対策は限界にきていると以前から言われていましたが、有名なウイルス対策ソフトベンダー自らによる発言のためインパクトがありました。
この発言を受けて、他の有名なベンダーの幹部からも、発言内容に同調するコメントが公開されています。
ウイルス対策ソフトでは防げない「未知の脅威」とは
「未知の脅威」とは
脆弱性攻撃ソフトウェアにおけるセキュリティ上の問題につながるような欠陥や、設計段階の見落としなどによる仕様上の問題点である脆弱性を突いた攻撃。
ゼロデイ攻撃:ソフトウェアの脆弱性を修正するプログラムが提供される前に脆弱性を利用した攻撃。
攻撃ツールの普及
インターネット上の闇市場では、マルウェアの技術的な知識がなくても簡単にマルウェアを作成することができるツールが取引されています。ツールが普及するに伴い、高度なスキルを持たない犯罪者によって1日に数万もの新しいマルウェアが作りだされており、マルウェア増加の一因となっています。そのため、増加しているマルウェアに対して、ウイルス対策ソフトベンダーによる解析とパターンファイルの配信が追い付いていません。 さらに、近年のサイバー攻撃に使用されるマルウェアは、予め攻撃者がウイルス対策ソフトでは検知されないことを確認した新種や亜種(未知の脅威)が使用されており、パターンマッチングよる防御は限定的になってきているといえます。
脆弱性対策情報の公開に伴う悪用
ソフトウェアの脆弱性対策情報の公開を悪用し、その脆弱性対策を行っていないシステムを狙って攻撃する。近年では、その攻撃が本格化するまでの時間が短くなっています。
サイバー犯罪からパソコンを守れない
近年に見られる高度な脅威と、パソコン黎明期に流行した、いたずら目的や攻撃者の自己顕示目的などの不特定多数を狙ったウイルス等の攻撃はその背景が明確に異なります。
近年の高度な脅威は 「経済的利益を狙ったサイバー犯罪」といえます。 最近ではサイバー犯罪に関する闇市場が形成されており、サイバー空間上での犯罪ビジネスのエコシステムが確立しています。
こうした近年の高度な脅威は、一般的なウイルス対策ソフトでは守れないために、その被害が顕在化しつつあります。 例えば、2018年上半期のインターネットバンキング不正送金件数は211件、被害額は3億7,200万円(出典:平成30年9月20日 警察庁広報資料)となっており、インターネットバンキング利用者の不正送金被害が後を絶ちません。この被害の拡大の背景にはパソコンに不正な操作を行わせる高度な未知マルウェアの存在があります。 一般的なウイルス対策ソフトではこうした高度な未知マルウェアによる攻撃を防御することが難しいため、各インターネットバンキングサービスでは別途セキュリティソリューションの提供を行い、被害低減のためのキャンペーンを行っています。
不正送金を行うマルウェアの例からもわかるように、近年の高度なマルウェアはユーザーのパソコン内に侵入し、様々な情報を盗み出したり、 パソコンを乗っ取ることにより不正な操作をしようとします。この巧妙な攻撃手法には 「未知の脅威」が大きく関係します。 これらはパターンマッチングをベースとしたウイルス対策ソフトや、OS・アプリケーションソフトのアップデートだけでは防ぐことができません。
近年のサイバー攻撃は、「未知の脅威」を用いるケースが多く見受けられ、新たな対策を講じる必要があります。
なぜ守れないのか? 〜「後追い技術」ではダメ〜
先に述べたように、ウイルス対策ソフト(パターンマッチング技術)では近年の新しい脅威に対抗できていません。 ウイルス対策ソフトが防御対象としているのは、パターンファイルが作成された「既知のマルウェア」です。 ウイルス対策ソフトは「後追い技術」であるといえます。 これを犯罪者の検挙方法に例えるならば、パターンマッチングは「指名手配写真」を用いた検挙です。つまり、既に罪を犯した犯罪者の写真がなければ検挙できないということになります。
問題は「知られていない」
ここで問題としては挙げたいのは、「未知の脅威」の存在と、ウイルス対策ソフト(パターンマッチング技術)ではこの脅威を守れないという事実が一般的に認識されていないということです。
例えば、一般のパソコンユーザーを対象とした脅威の認知度調査で下記のような調査結果が出ています。
セキュリティキーワードの認知度
マルウェア 61.8% セキュリティホール(脆弱性)77.9% 標的型攻撃 56.5% ランサムウェア62.1%
※出典:独立行政法人情報処理推進機構 調査報告書「2018年度情報セキュリティの脅威に対する意識調査」
近年マルウェアによる被害が報道されている中、マルウェアや標的型攻撃、ランサムウェアに関しては約4割近くの回答者の認知がないことがわかります。この結果を見る限り、 未知マルウェアやゼロデイ脆弱性の脅威に対する認識は、さらに低いことが容易に推察できます。 つまり、多くのユーザーは「未知の脅威」に関して根本的な事実の認識(情報)がないため、守られていない領域(脅威)を認識することなく、 根本的な解決がなされていないウイルス対策ソフトを使用しているという現状があるといえます。 このようにユーザーが守られていない現状は、由々しき事態であるといえます。 セキュリティベンダーとして、このようなウイルス対策ソフトを取り巻く現状を打破するソリューションの提供は大きな責務です。 FFRIセキュリティは、問題を抜本的に解決するために、次世代エンドポイントセキュリティ製品を開発しました。
「先読み技術」とは
FFRIセキュリティの次世代エンドポイントセキュリティ製品は、一般的なパターンマッチング型ウイルス対策ソフトでは防御することが難しい「未知の脅威」に対抗するために開発されたセキュリティソフトです。 近年のパソコンを取り巻くサイバー脅威は急速に高度化・複雑化してきており、「未知の脅威」を防御することなくしては、本当に意義のあるセキュリティを実現することはできません。
FFRIセキュリティの次世代エンドポイントセキュリティ製品では、従来のパターンマッチング技術の課題を抜本的に解決した「先読み技術」により、様々な未知の脅威を防御します。
FFRIセキュリティの次世代エンドポイントセキュリティ製品の独自の先読み技術である「先読み防御」は、パターンファイルに全く依存しません。 複数の検知エンジンを用いてマルウェアの構造や振る舞いを見て、マルウェアに特徴的な「悪意」を分析することにより検知・防御する技術です。
これを犯罪者の検挙方法に例えるならば、警察官が泥棒特有の怪しい動きを判断することにより犯罪を未然に防ぐということです。 例えば、家の前をウロウロしているとか鍵を開けようとしている、といった怪しい振る舞いを見て捕まえることができます。 しかし、一人の警察官の判断だけでは、泥棒を見逃してしまう可能性や誤認逮捕の可能性もあります。 これを解決するために、複数の専門的な知見を持った捜査官やセンサーなどを配置することによって、様々な視点から泥棒の特徴・悪意を判断することが可能になります。
FFRIセキュリティの次世代エンドポイントセキュリティ製品は、5つのヒューリスティック検知エンジンにより、マルウェアに特徴的な悪意を「多角的」に判断し、防御することが可能です。 これにより、一般的なウイルス対策ソフト(パターンマッチング技術)では防御が難しい新種や改造されたマルウェア、さらに脆弱性攻撃といった「未知の脅威」であっても、 マルウェアに共通する「悪意」を検知して防御することが可能です。
FFRIセキュリティの次世代エンドポイントセキュリティ製品は、後追いの対策ではなく、「先読み技術」によって今までは守れていなかった近年の高度な脅威を防御します。