これまでのエンドポイント保護製品は、既存マルウェアを基にした検知から、AIを使った既存マルウェアテクニックからの推測による検知へと進化してきたが、「Morphisec」は「攻撃を成立させない」という考え方で、未知の攻撃からの保護も可能にしているという。
「Morphisec」は、マルウェアが悪用するOSやアプリケーションのメモリーアドレスをプロセス生成ごとに変化させることで、マルウェアや脆弱性を悪用するコードの実行を不可能にする、新世代のエンドポイントセキュリティ対策製品だという。未知の攻撃やゼロデイ攻撃、ファイルレスマルウェア、プロセスの空洞化など、高度な攻撃を実行不可能にするという。
シグネチャーベース、振る舞い検知、AIなどの防御製品と全く異なった技術を用いているため、過去の対策手法に依存しない製品だという。
従来の製品は、攻撃動作の実行を見つける反応型検知であり、本質的に攻撃者優位(後追い)になる。対して、「Morphisec」は攻撃目標(脆弱性、dll、アプリのメモリー空間)を変化させることで、マルウェアの実行ができなくするもの。
「Morphisec」の特徴
1. Moving Target Defense(MTD)
「Moving Target Defense」は、アプリケーションが起動するたびにローディングするメモリーアドレスを毎回ランダマイズすることにより、攻撃を防御するのではなく攻撃を成立させなくする技術で、「Morphisec」の中核技術になる。シグネチャー更新が不要であるため、オフラインでも問題なく動作する。
Moving Target Defenseの概念図
・ステップ1:攻撃者からターゲットを見えなくする
アプリケーション、Webブラウザ、またはOSが起動され、メモリー空間にロードされると、「Morphisec」は、ライブラリー関数やライブラリーアドレスなど各実行プロセスの内部配置をランダマイズする。ランダマイズされたメモリー空間(図の「メモリー配置をランダマイズ」)を攻撃者が予測することは不可能になる。
・ステップ2:メモリーマッピング
正常なアプリケーションはランダマイズされたメモリー空間で通常通りに実行されるとともに、「Morphisec」はランダマイズされる前のオリジナルのメモリーマッピングをトラップとして準備する。(図の「通常のメモリー配置」)
・ステップ3:攻撃者を欺き、中立化
攻撃者の悪意あるコードは、新しいメモリーマッピングを知る術がなく、いかなる必要な機能にもアクセスできないため、実行ができない。攻撃は、オリジナルのメモリーマッピングを標的にし続けるが、それはおとりに過ぎない。
・ステップ4:トラップと管理
おとりのメモリーマッピングに対する攻撃が検知されると、フォレンジック分析のためにMorphisec Management DashboardまたはSIEMに記録される。
2. Install & Forget!――追加設定・更新が原則不要
企業の導入・展開においては、一度インストールすれば、後は何もする必要はない。また、アプリケーションがメモリーにロードされる瞬間だけアクティブとなるサービスであるため、以下のような特徴を持つ。
- インストール後の再起動必要なし
- シグネチャー更新が不要のためオフライン環境でも問題なく動作
- 追加の設定項目なし
- DB、シグネチャーのためのキャッシュメモリー不要
- アプリケーションへの依存なし
- 誤検知がほとんどない
- インジェクション対象が少ないため競合が発生しにくい
- CPU・メモリー負荷が非常に低い
- ネットワーク負荷がない
3. 管理サーバー未接続でも防御が可能
端末単体で保護が完結するため、独立したネットワーク環境(Morphisec管理サーバーと未接続)での利用も可能。「Morphisec」は、オフィス環境のWindowsサーバーやPCはもちろんのこと、社外持ち出し端末(ノートPC)やメモリーリソースの乏しい端末、工場の制御系PC、ATM、POS端末、など非常に広範な用途が想定される。
4. ASLR(Address Space Layout Randomization)との相違
重要なデータ領域の位置をランダムに配置することで「脆弱性を悪用した不正なコードの実行を難しくする」セキュリティ機能としてWindows Vista以降、Windowsに標準搭載されてきたASLRは「Morphisec」とは大きく異なるものになる。
ASLRのアドレスランダマイズ基数更新は、OS起動のタイミングで変更するのみでブルートフォースに弱く、2017年には脆弱性が発見され米セキュリティ研究機関から注意喚起がなされるなど、利用には注意が必要となるだけでなく、攻撃防御では不完全。
