アンチウイルス製品では検知困難な「マルウェアフリー」の攻撃が増加 “ボディーガードのような守り”が防御の鍵に
今回は「アンチウイルス製品では検知困難な「マルウェアフリー」の攻撃が増加 “ボディーガードのような守り”が防御の鍵に」についてご紹介します。
関連ワード (坂尻氏、気付、端末等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、It Media News様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
2020年、世界中で猛威を振るったマルウェアといえば「Emotet」だろう。なりすましメールを介して急激に拡大し、海外はもちろん国内でも複数の企業が被害に遭い、対応に追われた。
21年1月には欧州刑事警察機構(EUROPOL)がEmotetの攻撃用サーバを制圧したと発表。攻撃は一段落した。しかし、今後も類似の攻撃やマルウェアには引き続き注意が必要だ。なぜなら、Emotetの拡大を通して攻撃者が「マルウェアフリー」という手法の効果を実感してしまったからだ。
Emotetで採用されたマルウェアフリーという手法が恐ろしいのは、従来のアンチウイルス製品では検知できないような仕組みを持っている点にある。
情報セキュリティ事業を手掛けるBlue Planet-worksの鴫原祐輔氏は「アンチウイルス製品が安全だと認識している機能やツール、検査対象に含まない形式のファイルを悪用する手口が増えています」と警鐘を鳴らす。
既存のアンチウイルス製品ではほとんど検出できない「マルウェアフリー」
一般的なマルウェアは、問題を起こすためのソフトウェアをPCなどに忍び込ませて攻撃を始めるのが定石だ。既存のアンチウイルス製品は指名手配犯を探す警察官のように、ソフトウェアを捕まえ、過去に問題になったマルウェアの特徴と照らし合わせて悪意あるものを検出・駆除していた。
ところが最近のマルウェアは構造が変化していると鴫原氏は指摘する。
「環境寄生型攻撃では100種類以上あるWindows標準のシステムツールを悪用します。ファイルレス攻撃は本体となる実行ファイルなどを持たないことでアンチウイルス製品の検知をかいくぐります」(鴫原氏)
これらの攻撃手法はまとめて「マルウェアフリー」と呼ばれる。米情報セキュリティ企業の調査によると、こうした攻撃は19年の時点でサイバー攻撃全体の51%を占めるまでになった。
マルウェアフリーの手法を使ったマルウェアを既存のアンチウイルス製品で検出するのは困難を極める。鴫原氏が20年10月に採取したEmotetの検体10種類を主要なアンチウイルス製品で試したところ、ほとんど検知できなかったという。
もう一つ、既存の対策の有効性を損なっているのが難読化技術の横行だ。近年のアンチウイルス製品の中には、振る舞い検知やAIといった新たな技術を活用して、未知のマルウェアでも検知できるよう精度を向上させているものもある。一方、犯罪者側はそれを見越してソフトウェアの解析を妨げる処理を加えて検知をすり抜けようとしている。
情報セキュリティ分野の国際会議「Network and Distributed System Security Symposium」では、新技術を搭載した最近のアンチウイルス製品でも難読化されたマルウェアの約2割を見逃してしまうという報告も上がっている。
理想は“ボディーガード”のような守り方
こうした背景から情報セキュリティの分野では「アンチウイルス製品に頼る守り方はもう古い」という声もある。中には、侵入されることを前提に、従業員が使う端末を監視して不審な動きがあれば通知するEDR(Endpoint Detection and Response)の導入に力を入れている企業もあるだろう。
だがそれも、攻撃を受けた際に業務を途切れさせないのが最善と考えると十分な対策とは言い切れないと鴫原氏は主張する。
「EDRは基本的に攻撃中や攻撃後の対処を担うツールです。警察の鑑識と同じで、攻撃された痕跡を基に攻撃や脅威を可視化して適切な対処をしていく。攻撃されないよう守るわけではないため、結果として攻撃で影響を受けた場合は業務を止めざるを得ません」(鴫原氏)
またEDRは過去の攻撃データを基に検知を行っている。環境寄生型攻撃のように正常な操作と見分けがつかないような手法を攻撃と認識するのは難しく、専門家による個別のログ解析が必要になるという課題もある。
Blue Planet-worksはこうした実情を踏まえ、マルウェアフリーのような手口が横行している今だからこそ事後対応のみにフォーカスするのではなく、あらためて未然の防止に力を入れるべきだと提唱する。
サイバー攻撃への対策方法としてNIST(米国立標準技術研究所)は、特定、防御、検知、対応、復旧という5つのプロセスに基づいた環境整備を推奨している。このうち、防御を目的とする情報セキュリティ製品は日々研究を重ねて新しい防御手法を生み出している。しかしそのたびに攻撃者はそれを乗り越えるといったいたちごっこが繰り返されてきた。
このループを抜け出すためには守り方の概念そのものを変えていく必要がある。鴫原氏はボディーガードのような守り方を特徴とする「プリベンション型セキュリティ」による、攻撃を成立させないための対策が重要だと語る。
「既存の検知型アンチウイルス製品が、指名手配書を基に悪者を見つけようとする警察だとすれば、プリベンション型セキュリティはボディーガードやSPに近いものといえます。例えば大統領を警護しているSPは、相手がブラックリストにない善良な市民でもナイフを手に襲い掛かってくるなら容赦なく制圧して無力化します。実行主体が何者かは関係なく、保護対象に対して害を成すのかどうかを見ています」(鴫原氏)。
明らかに悪意を持って作られたマルウェアはもちろん、OS標準の無害なツールでも、問題のある挙動を示せば全てストップすることで、マルウェアフリーの手法を採用した攻撃でも止められる。端末内で動作するあらゆるプログラムを信用せず、害を成す動作を成立させないよう制御するのがプリベンション型セキュリティの考え方の基礎にある。
プリベンション型セキュリティは業務の継続性を担保する新しい仕組み
Blue Planet-worksが取り扱う「AppGuard」もプリベンション型セキュリティ製品の一つだ。マルウェアを見つけて対処するのではなく、PC内で起きる不正な動きを阻止する方法で情報を守る仕組みで、未知のマルウェアでも脅威として対処できる。
エンドポイントセキュリティとして導入を考える企業からはEDRと比較されることも多いという。しかし、EDRはEndpoint Detection and Response(エンドポイントの検知と対応)という名の通り、検知と対応を担う製品で、防止を担うAppGuardとは役割が異なる。
Blue Planet-worksの坂尻浩孝氏によると、プリベンション型セキュリティは調査会社などが発表しているエンドポイントセキュリティ製品の分類表にもまだほとんど登場していないジャンルだという。既存製品と考え方が異なる仕組みのため、AppGuardには他のエンドポイント製品とも共存できるという特徴がある。
「お客さまからすれば、エンドポイントセキュリティ製品の入れ替えは手間がかかるためできれば避けたいものです。今まで使ってきた製品を活用しつつ、未知のマルウェア対策として追加することで、より安全性の高い環境を実現できます」(鴫原氏)
実際に既存のアンチウイルス製品とAppGuardを同時に利用している企業もある。リスクの高い部署から段階的に導入していくケースも多い。例えば、IR情報や知的財産などを扱う部署から段階的に導入していけば、コストも工数もかからない。
特にニーズが高いのは企業の情報システム部門や「お客さま相談センター」だ。「窓口に寄せられる問い合わせの中には、調査のために怪しいリンクや添付ファイルを開かないといけないものもあります。AppGuardを導入すれば『どうぞリンクをクリックしてください、ファイルも開いてください。不正な動きがあれば止められるので』と言えるようになります」(鴫原氏)
Blue Planet-worksでは今後、AppGuardの防御力を最も効果的に導入・運用できる機能を追加して運用性を改善し続けるとともに、仮想環境やサーバへの展開などAppGuardの適用範囲を広げていく計画だ。「基本的にプリベンション型セキュリティや防御に主眼を置く考えはこの先もずっと変わりません」(坂尻氏)。
「プリベンションでセキュリティに悩まない世界を」
ペーパーレス化やIoT機器の普及など、デジタルトランスフォーメーション(DX)が進めば、今まで以上にデータやITシステムの重要性が増していく。万が一にでもシステムが破壊されれば事業に大きなインパクトをもたらす恐れがあることに経営者も気付き始めている。 Emotetは攻撃者にマルウェアフリーの有効性を知らしめたと同時に、経営者に情報セキュリティの重要性も実感させた。
「Emotet騒動をきっかけに国内でもサイバー攻撃の恐ろしさが身近なものとなり、国内外で多発するマルウェアの被害を目の当たりにすることで、経営者もサイバー攻撃を受ければ業務を維持できなくなると分かってきました」(鴫原氏)。相応のコストを投じてでも、ビジネスを守れ、事業を続けられる製品を選択したいニーズが高まっているという。
「PCやサーバに限らず、IoT機器などネットワークにつながるもの全てがプリベンション型セキュリティの仕組みによって守られる世界が必要とされていくでしょう。その仕組みを日本から発信し、セキュリティで悩まない世界を作っていきます」(坂尻氏)
Copyright © ITmedia, Inc. All Rights Reserved.
「気付」の意味や正しい使い方は?使用シーンや例文を含めて ...
郵便物で「気付」と書かれたものを目にしたことはありませんか? 頻繁に使われる言葉だからこそ、正しい意味を理解しないまま使ってしまうこともありますよね。 特にビジネスシーンで使うことのある言葉は、意味を理解し、正しく使いたいところです。 今回は「気付」の意味や正しい使い方、どんなシーンで利用できるか例文を交えながら解説します。
「気付」の意味とは?正しい使い方と書き方!様方・御中との ...
会社宛ての手紙の宛て名に「気付」(きづけ)という言葉が記されているのを見たことはないでしょうか。これはどういう意味?と疑問を持ったまま、やり過ごしている方のために、今回は、その意味や使い方が分かりにくい「気付」を解説しま...
気付の意味と使い方 宛名の正しい書き方をマスターしよう ...
郵便で手紙・封書などを送る際に「気付」(きづけ/きつけ)という言葉を使うことがあります。「御中」などと同じく宛先を記載する際に使いますが、この「気付」の意味を正しく知っていますか? ビジネスシーンで使う場合には相手に失礼のないよう正しく使いたいところですね。そこで今回は、気付の正しい意味と使い方を解説します。
気付(きづけ)の意味 - goo国語辞書
気付(きづけ)とは。意味や解説、類語。《「きつけ」とも》郵便物を、相手の現住所ではなく、その人の勤め先や立ち寄り先へ送ること。また、そのとき、あて先の下に付ける語。「ホテル気付で手紙を出す」 - goo国語辞書は30万4千件語以上を収録。政治・経済・医学・ITなど、最新用語の追加も定期的に行っています。
宛名に付ける「気付」の意味と書き方〜就活にも使える覚えて ...
宛名に「気付」と書かれているものがあることをご存知ですか?また、この意味を知っていますか?そんな風に書かれているものを見たことがないというかたもおられるかもしれません。今回は、そんな宛名に付ける「気付」の意味と書き方についてご紹介します。
気付の意味と使い方・様方との違い・書き方の例(手紙/送り状 ...
「気付」という言葉を見たことはありませんか?「気付」は宛名で使用する言葉ですが、どのような意味があるのか、実際にどう使うのか、疑問点も多いかと思います。この記事では「気付」の意味や使い方、書き方の例についてご紹介します。ぜひ活かしてみてください。
郵便の「気付」はどんな意味?送り先と関係のある相手に配達 ...
· 会社には正式な所属はしていない人へ資料などを送る時 にも「気付」を。例えば、出張先の会社にいる上司に資料を送付する時などに使えます。 書き方は、ホテルや病院の滞在と同じような書き方で、 「株式会社 気付 様」
ビジネスでの「気付」の使い方と例・封筒の宛名欄における ...
「気付」とは?あまり聞きなれない「気付」ですが、いざというとき必要になったら困ります。封筒の宛名のどこに書くか、書き方の実例など、詳しく解説します。ビジネスシーンで必要な「気付」。さっと対応できるように作法を知っておきましょう。
気付(きづけ)の意味と使い方 / ビジネスマナー講座
気付・・・その組織や世帯に所属しない人に出す場合。. たとえば、旅先に自分の荷物を送る場合、. ホテル フロント気付 ××行(××は自分の名前). のように書きます。. 荷物を送る自分は ホテルの人間ではありませんので気付を使います。. (逆に ホテルの従業員に送る場合は、 ホテル フロント 様のように書きます). 他の使い方としては、弔電や祝電を出す場合 ...
気付(きづけ)の意味と書き方!ホテルフロント・郵便・手紙 ...
気付(きづけ)とは、手紙などの郵便物や宅配便の荷物などを受け取った人に、 「あなたが、最終的な受け取り人ではないですよ」との注意をうながすために宛名の下につける語です。 宛名の下に「気付」 …
45630:
2021-07-01 21:48皆様いつもありがとうございます??多数のお問い合わせをいただきました、はなげのまい先生へのファンレターは下記へお願いいたします?♀️ 〒102-8177 東京都千代田区富士見2-13-3 KADOKAWA キトラ編集部気付 はなげのま…