「パフォーマンスと防御力の調和」を目指す--「McAfee Advanced Threat Defense」を発表
マカフィーは10月31日、静的コード解析とサンドボックス解析を統合したマルウェア対策のアプライアンス製品「McAfee Advanced Threat Defense」を発表した。ゼロデイマルウェア検知に対して有効とされるサンドボックス型マルウェア検知を取り入れた、パフォーマンスと高度な脅威対策の両立を目指す製品だ。2013年2月に買収した米ValidEdge社のサンドボックス技術を組み入れた製品となる。
マカフィー マーケティング本部テクニカル・ソリューションズ ディレクターのブルース・スネル(Bruce Snell)氏はこの製品で「パフォーマンスと防御力の調和」を目指すという。セキュリティベンダーとして、セキュリティがパフォーマンス低下要因にならぬよう、負荷を最小限にすることがポイントであるとした。
昨今話題になっている「標的型攻撃」では、ターゲットを個人にまで絞り、既存の攻撃コードの難読化、構成変更などパッキング処理を行った上で攻撃が行われることが多い。そのため、既知の攻撃を元にその特徴を取り出し、比較することでマルウェアかどうかを判断するシグネチャ方式による検知手法をすり抜けてしまう。
そこで登場したのが、仮想環境上でファイルを開き挙動を確認する「サンドボックス方式」だ。この方式ではもしマルウェアが仕込まれているファイルがあった場合、その後に外部へ不正な通信をする、ダウンロードを行うと行った怪しい挙動をチェックできるため、未知の攻撃であっても挙動をベースにした判断が可能だ。
サンドボックスでは、シグネチャベースでは検知できない未知の脅威を解析できるが、リアルタイムではなくリソース消費も大きい。ただし、サンドボックス方式には「OSの起動だけでも30秒かかってしまい、リソースを大量に消費してしまう」(スネル氏)。さらに高度化したマルウェアはサンドボックス対策として仮想環境上では挙動を変え、実マシンでしか動かないというようなことも行われる。そのため、すべてのファイルに対してサンドボックスでの「動的解析」をするのは困難だ。
