SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine Press

「サンドボックスだけに頼らない」--マカフィー、標的型攻撃対策製品「McAfee Advanced Threat Defense」を発表

 


 昨今話題になっている「標的型攻撃」では、シグネチャによる対策は高速だがゼロデイに対応できず、サンドボックスは高精度な検知が可能だが時間がかかる。そこでマカフィーは両者の「調和」を目指すアプライアンス製品「McAfee Advanced Threat Defense」を発表した。

「パフォーマンスと防御力の調和」を目指す--「McAfee Advanced Threat Defense」を発表

 マカフィー マーケティング本部テクニカル・ソリューションズ・ディレクター ブルース・スネル氏
マカフィー マーケティング本部
テクニカル・ソリューションズ ディレクター
ブルース・スネル氏

 マカフィーは10月31日、静的コード解析とサンドボックス解析を統合したマルウェア対策のアプライアンス製品「McAfee Advanced Threat Defense」を発表した。ゼロデイマルウェア検知に対して有効とされるサンドボックス型マルウェア検知を取り入れた、パフォーマンスと高度な脅威対策の両立を目指す製品だ。2013年2月に買収した米ValidEdge社のサンドボックス技術を組み入れた製品となる。

 マカフィー マーケティング本部テクニカル・ソリューションズ ディレクターのブルース・スネル(Bruce Snell)氏はこの製品で「パフォーマンスと防御力の調和」を目指すという。セキュリティベンダーとして、セキュリティがパフォーマンス低下要因にならぬよう、負荷を最小限にすることがポイントであるとした。

 昨今話題になっている「標的型攻撃」では、ターゲットを個人にまで絞り、既存の攻撃コードの難読化、構成変更などパッキング処理を行った上で攻撃が行われることが多い。そのため、既知の攻撃を元にその特徴を取り出し、比較することでマルウェアかどうかを判断するシグネチャ方式による検知手法をすり抜けてしまう。

 そこで登場したのが、仮想環境上でファイルを開き挙動を確認する「サンドボックス方式」だ。この方式ではもしマルウェアが仕込まれているファイルがあった場合、その後に外部へ不正な通信をする、ダウンロードを行うと行った怪しい挙動をチェックできるため、未知の攻撃であっても挙動をベースにした判断が可能だ。

 サンドボックスではシグネチャベースでは検知できない未知の脅威を解析できるが、リアルタイムではなくリソース消費も大きい
サンドボックスでは、シグネチャベースでは検知できない未知の脅威を解析できるが、
リアルタイムではなくリソース消費も大きい

 サンドボックスでは、シグネチャベースでは検知できない未知の脅威を解析できるが、リアルタイムではなくリソース消費も大きい。ただし、サンドボックス方式には「OSの起動だけでも30秒かかってしまい、リソースを大量に消費してしまう」(スネル氏)。さらに高度化したマルウェアはサンドボックス対策として仮想環境上では挙動を変え、実マシンでしか動かないというようなことも行われる。そのため、すべてのファイルに対してサンドボックスでの「動的解析」をするのは困難だ。

 Webゲートウェイでマルウェアを検知した例。「VM Detection」が検知されているが、これは仮想環境では挙動を変え、サンドボックスでは検出されないように作ったマルウェアを示す
Webゲートウェイでマルウェアを検知した例。「VM Detection」が検知されているが、
これは仮想環境では挙動を変え、サンドボックスでは検出されないように作ったマルウェアを示す

次のページ
マルウェアへの包括的アプローチ、キャッチフレーズは「Find」「Freeze」「Fix」

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

宮田健(ミヤタタケシ)

@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。
著書に「Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!」(MdN)、「デジタルの...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5313 2013/11/01 13:43

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング