ユーザーの3分の2は、同じマルウェアに繰り返し感染する
ソースファイアが提唱する新しいセキュリティモデルは、標的型攻撃やAPT攻撃などに代表される巧妙で高度な攻撃に対抗するものだ。APT攻撃で見られるパターンの1つに、侵入した未知のマルウェアの「潜伏」がある。ファイルを開いたタイミングで感染の症状が出るのではなく、数日から数ヵ月の間なりを潜め、忘れたころに活動を開始して、感染を拡大する。
APT攻撃に有効とされるサンドボックス型の検知技術も、こうした未知のマルウェアの潜伏には弱いとされている。サンドボックス型の検知技術は、マルウェアを仮想マシン内で実際に実行し、外部からのファイルのダウンロードや、外部に対するPC情報の送信などをチェックし、マルウェアかどうかを判定する。だが、仮想マシン内で実行されるのは最初だけで、そのチェックをすり抜けてさえしまえば、以降はマルウェアとは見なされなくなるからだ。
フリードリッヒ氏は「攻撃者は既存の防御製品をテストしたうえで攻撃してくる。新しい防御の技術をつくりだしても、それをバイパスする技術はすぐ生まれる。シングルポイント、シングルタイムでの検知では最近の脅威には対抗できなくなっている」と主張する。
実際、ソースファイアが企業ネットワークでどんなマルウェアに感染する傾向があるかを調査したところ、過去1ヵ月間に脅威を検知したユーザーは9%で、そのうちの3分の2は、同じマルウェアへの感染を複数回繰り返していることが分かったのだという。このうち月10回を超えて感染を繰り返していたユーザーは20%に達し、月100回以上の感染を繰り返していたユーザーも1.6%存在した。
「感染を複数回繰り返すということは、検知をすり抜ける脅威がそれだけあったと考えることができる。ここで注目すべきは、感染がリピートされる期間だ。1ヵ月の間に100回以上もの感染が繰り返されることもあれば、1年後に突然感染が始まるケースもある。検知をすり抜けることを前提として、対抗策を講じることが重要だ」(同氏)
そこで、同社が展開しているのが、「レトロスペクティブセキュリティ(Retrospective Security)」と呼ばれるアプローチだ。これは、防御をすり抜けたマルウェアを過去に遡って検知しようというもの。具体的には、ネットワーク上のマルウェアのすべてのログを取得し、どのように攻撃が始まったのか、どのような経路で感染したのか、どの端末が感染しているのかといった状況を把握し、感染源を除去する。「いわば過去にどんなアクティビティが行われたかを見ることができるフライトレコーダー」だという。
