悩ましい、Emotetといったマルウェア対策
はい。前回の記事では「ゼロトラストとはなんぞや」をテーマに、キーワードをピックアップして解説しました。今回の記事でも、ゼロトラストを進めるにあたって重要なワードとしてEDR(Endpoint Detection and Response)に焦点を当てて解説します。
ゼロトラストを進めるにあたって避けられないのが、エンドポイントセキュリティ、いわゆるEmotetなどのマルウェア対策ですね。これを防ぐことは、なかなか難しいのです。
「システムで一番脆弱なのは人間だ」といった言説がセキュリティ業界ではよくなされていますが、個人的には「その言い方はちょっとどうかな」と思っています。一方で、この部分は機械で自動化できるわけではないため、セキュリティ上どうしてもネックになるというのは確かでもあります。こうした、「人に対するセキュリティ対策」はこれまでも多数のソリューションが提供されています。
まず、わかりやすいもので言えば「ウイルス対策ソフト」が挙げられます。これはいわゆるシグネチャ型のもので、多くの人の大抵のPCに入っているものですね。皆さんにも聞きなじみがあるものだと思います(○○バスターとか)。
その次に、聞きなれないかもしれませんが「サンドボックス」というものがあります。この仕組みとしては、一旦そのサンドボックスという安全な環境で怪しいファイルを泳がして、「不審な行動を取ったらマルウェアだ」と判断するものですね。たとえば「メールが送られてきて、これはウイルスかもしれない」となれば、それを安全な環境で開いてみて何も不審な動作をしないとなれば本来の利用者に届けてあげる、といったものです。一見良さそうに見えますね。
実はこのサンドボックス、今もあるのですがほとんど話題になりません。というのも、これはマルウェア側でも対策が進んでしまい、マルウェアが「今、サンドボックスにいる!」ということを逆に検知するのですね。そしてサンドボックス側が「このファイルは何もしない、大丈夫だ」と思ってしまい本物のユーザーへ届けると、やおら活動を始めるタイプが増えてきています。
サンドボックスは現状「導入しても意味がないとまでは言えない」のですが、マルウェア側での対策が進んだことは事実であり、世間において主流ではなくなっていると思います。
