Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

  「サンドボックスだけに頼らない」--マカフィー、標的型攻撃対策製品「McAfee Advanced Threat Defense」を発表

  2013/10/31 19:45

 昨今話題になっている「標的型攻撃」では、シグネチャによる対策は高速だがゼロデイに対応できず、サンドボックスは高精度な検知が可能だが時間がかかる。そこでマカフィーは両者の「調和」を目指すアプライアンス製品「McAfee Advanced Threat Defense」を発表した。

「パフォーマンスと防御力の調和」を目指す--「McAfee Advanced Threat Defense」を発表

 マカフィー マーケティング本部テクニカル・ソリューションズ・ディレクター ブルース・スネル氏
マカフィー マーケティング本部
テクニカル・ソリューションズ ディレクター
ブルース・スネル氏

 マカフィーは10月31日、静的コード解析とサンドボックス解析を統合したマルウェア対策のアプライアンス製品「McAfee Advanced Threat Defense」を発表した。ゼロデイマルウェア検知に対して有効とされるサンドボックス型マルウェア検知を取り入れた、パフォーマンスと高度な脅威対策の両立を目指す製品だ。2013年2月に買収した米ValidEdge社のサンドボックス技術を組み入れた製品となる。

 マカフィー マーケティング本部テクニカル・ソリューションズ ディレクターのブルース・スネル(Bruce Snell)氏はこの製品で「パフォーマンスと防御力の調和」を目指すという。セキュリティベンダーとして、セキュリティがパフォーマンス低下要因にならぬよう、負荷を最小限にすることがポイントであるとした。

 昨今話題になっている「標的型攻撃」では、ターゲットを個人にまで絞り、既存の攻撃コードの難読化、構成変更などパッキング処理を行った上で攻撃が行われることが多い。そのため、既知の攻撃を元にその特徴を取り出し、比較することでマルウェアかどうかを判断するシグネチャ方式による検知手法をすり抜けてしまう。

 そこで登場したのが、仮想環境上でファイルを開き挙動を確認する「サンドボックス方式」だ。この方式ではもしマルウェアが仕込まれているファイルがあった場合、その後に外部へ不正な通信をする、ダウンロードを行うと行った怪しい挙動をチェックできるため、未知の攻撃であっても挙動をベースにした判断が可能だ。

 サンドボックスではシグネチャベースでは検知できない未知の脅威を解析できるが、リアルタイムではなくリソース消費も大きい
サンドボックスでは、シグネチャベースでは検知できない未知の脅威を解析できるが、
リアルタイムではなくリソース消費も大きい

 サンドボックスでは、シグネチャベースでは検知できない未知の脅威を解析できるが、リアルタイムではなくリソース消費も大きい。ただし、サンドボックス方式には「OSの起動だけでも30秒かかってしまい、リソースを大量に消費してしまう」(スネル氏)。さらに高度化したマルウェアはサンドボックス対策として仮想環境上では挙動を変え、実マシンでしか動かないというようなことも行われる。そのため、すべてのファイルに対してサンドボックスでの「動的解析」をするのは困難だ。

 Webゲートウェイでマルウェアを検知した例。「VM Detection」が検知されているが、これは仮想環境では挙動を変え、サンドボックスでは検出されないように作ったマルウェアを示す
Webゲートウェイでマルウェアを検知した例。「VM Detection」が検知されているが、
これは仮想環境では挙動を変え、サンドボックスでは検出されないように作ったマルウェアを示す

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 宮田健(ミヤタタケシ)

    10年間のシステムエンジニア経験を経て、@IT編集者としてSecurity & Trustフォーラムを中心に、ネットワーク、データベースなどの技術情報を発信する。その後、2012年11月に独立、現在はエンタープライズ系のIT技術を追いかけるフリーライターとして活動。また、テーマパーク情報を追...

バックナンバー

連載:EZ Press

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5