セキュリティ情報

2017/06/13

「Symantec Endpoint Protection 14」に搭載された新機能
~テクノロジーの裏側に迫る~(全6回)
第1回:同じに見えて大違い!? 新旧セキュリティソフト

WannaCryであらためて明らかになった脅威の広がり

2017年5月にイギリスやフランス、そして日本など、世界中で猛威を振るったランサムウェア「WannaCry」。複数の病院や工場の稼動をストップさせ、マルウェア感染が私たちの日常生活に深刻な影響をもたらす恐れがあることを示しました。

ランサムウェア「WannaCry」に感染した場合の画面

ランサムウェア「WannaCry」に感染した場合の画面

WannaCryは、Windows OSに存在する脆弱性を攻撃して感染を広げます。ユーザーが「添付ファイルを開く」「怪しいリンクをクリックする」といった能動的な操作を行わなくても、ネットワークに接続するだけで感染する特徴を持っており、引き続き第二波、第三波に注意が必要です。

さて、ランサムウェアが私たちに影響を及ぼすのは、何もWannaCryが初めてのケースではありません。金銭狙いのサイバー犯罪者は2年ほど前からランサムウェアに注目し始め、日本にも「Locky」「CryptoLocker」といった形でその波はたびたび及んできました。

シマンテックでは、全世界にまたがる観測網を巡らすとともに、お客様にインストールされた製品からも情報を収集して「グローバルインテリジェンスネットワーク」(GIN)というデータベースを構築し、脅威の動向をウォッチしています。


シマンテックでプリンシパルセールスエンジニア(セールスエンジニアリング本部 パートナーSE部)を務める世羅 英彦氏は、「最新のデータですと、2015年に新たに生成されたランサムウェアファミリは30種類だったのが、2016年は101種類へと3倍に増加しています。あくまでこれはファミリの数で、亜種を含めると実数は膨大な数になるでしょう」と説明します。

シマンテック プリンシパルセールスエンジニア 世羅 英彦

シマンテック プリンシパルセールスエンジニア
世羅 英彦

このようにランサムウェアが端的な例ですが、オンラインバンキング利用時にバックエンドで不正送金を行ったり、遠隔操作を通じて企業の機密情報・個人情報を盗み取ろうとするさまざまなマルウェア(悪意あるソフトウェア)の数は増加の一途をたどっています。

それも劇的なペースです。「10年前ならば1年間で生成されていた数が、今は1日で流通するようになっています」と世羅氏は今日の状況を説明しています。

シマンテックでは数の増加だけでなく、感染手法の変化にも注意が必要だと考えています。「トリガーとして、脆弱性を突く攻撃が常套手段となっています」(世羅氏)。

つまり、うっかりだまされてクリックしなくても、パッチを適用していないPCをネットワークに接続しているだけで感染してしまう、注目を浴びたWannaCryですが、同じようなケースが珍しくなくなっているのです。

このような脅威、まだ自分には無縁のものだと思っている方がいるかもしれません。特に、中堅・中小規模企業の方は、「自社にはそれほど重要なデータはないし、わざわざ狙ってくることもないだろう」と考えている方もいるのではないでしょうか。

しかし、WannaCryのケースを見れば、それが誤解であることにお気づきになるはずです。万一、ランサムウェアに感染してしまえば、情報が流出しなくとも、取引先や顧客との連絡が滞り、業務に多大なダメージが生じることは明らかです。

先のシマンテックのレポートも、そうした傾向を裏付けています。急増しているマルウェアの被害で標的となった企業の規模を確認すると、従業員数1501~2500人規模という比較的大規模な企業が最も多く狙われていますが、次いで従業員数1~250人規模、251~500人規模の中堅・中小企業が多く狙われています。従業員数1501~2500人の企業が狙われている割合と500人以下の企業が狙われている割合はほぼ同じ。つまり、攻撃対象に企業規模の大小は関係ないのです。

図1

従業員数1501~2500人の企業が狙われている割合と500人以下の企業が狙われている割合がほぼ同じであることがわかる

「とりわけランサムウェアの場合、大企業であろうと中堅・中小企業であろうと、ターゲットはどこでもいいと考えているようです。数百ドルという『身代金』なら企業規模に関わらず支払える金額でしょう。『お金を支払えばデータが回復できるのではないか、システムを正常に戻せるのではないか』と考え、実際に金銭を支払うケースもあります」(世羅氏)。攻撃者にとっては、大規模企業よりも、むしろ安直に金銭支払いに応じてくれる「ガードの弱い」中堅・中小企業の方が狙い目なのかもしれないのです。

拡大する脅威の中、セキュリティ対策に求められる技術も進化

シマンテックをはじめとするセキュリティ対策製品を提供するベンダーは、こうした状況に対抗し、攻撃者の一歩先を行くべく、製品の強化に努めてきました。

シマンテックの企業向けエンドポイントセキュリティ製品「Symantec Endpoint Protection」を例に取ってみましょう。エンドポイント向けのセキュリティ製品の源流は、定義ファイルに基づいてウイルスを検出する「アンチウイルス」にさかのぼります。

しかし、前述の通りOSやアプリケーションの脆弱性を突いた攻撃が増加したことを受け、通信内容を制御し、検査する「パーソナルファイアウォール」や「IPS(不正侵入防止)」「脆弱性対策」といった機能が追加されました。これが、2007年に登場したSymantec Endpoint Protection 11です。

この頃から、サイバー攻撃が金銭目的のものに変化し、ブラックマーケットを介して、マルウェアの亜種を容易に作成できるツールキットや、カスタマイズしたオリジナルのマルウェアを作成できる「サービス」が流通するようになりました。この結果が、マルウェアの爆発的な増加につながっています。

そこで2011年に登場したSymantec Endpoint Protection 12では、リアルタイムに挙動解析を行う機能を追加するとともに、「ルートキット」と呼ばれる、検出の困難なマルウェアへの対策を強化しました。マルウェアの増加に伴って定義ファイルのサイズもまた肥大化していましたが、企業ネットワークリソースに与える負荷を減らし、少ない手間で運用できるように、「レピュテーション」を併用し、定義ファイルを用いずにマルウェアを検出できる機能も強化しました。

しかし先に説明したとおり、攻撃側の手口も日々巧妙化しています。残念ながら、1世代前のセキュリティ対策では、1世代前の攻撃しか防げないのです。

こうした背景からシマンテックは2016年、最新バージョンとなる「Symantec Endpoint Protection 14」(SEP 14)を発表しました。

SEP 14の最大の強化ポイントは、機械学習によるマルウェア検出機能です。「マルウェアの作者が隠そうとしても隠しきれない特徴を、良質なデータを用いて学習させた機械学習エンジンによって見つけ出します」(世羅氏)。

図2

シマンテックはエンドポイントセキュリティの機能を順次、拡充してきた

同時に、脆弱性を狙う攻撃に個別に対処するのではなく、狙われるポイントを事前に保護する「Memory Exploit Mitigation」という機能も搭載しました。しかもこれらの機能は、後付けのオプションではなく、1つのエージェントの形で提供されるため、運用管理が容易になっています。

次回以降のコラムで、SEP 14の各機能を詳細に説明していきます。ぜひご期待ください。


セキュリティ情報トップへ戻る

シマンテック セールスインフォメーション(法人のお客様向け)

※2014年2月17日よりお問い合わせ番号が下記のものに変更となりましたのでご注意ください。

電話でのお問い合わせ
03-4540-6226
受付時間:10:00~12:00、13:00~17:00
月曜日~金曜日(土・日・祝日を除く)
WEBからのお問い合わせ
お問い合わせフォーム
セキュリティの緊急事態発生時は
インシデントレスポンスサービス
Email : incidentresponse@symantec.com
0066-33-813-303(フリーダイヤル 9:00-17:30* )
*時間外は留守電もしくは英語対応になります。
お問い合わせの前に
お問い合わせが集中しお電話がつながりにくくなる場合がございますが、水曜日、金曜日は比較的お電話がつながりやすい傾向にあります。
なお平日の10:00~11:00及び15:00~17:00の時間帯はお待たせする可能性がございます。また月末月初やGW/夏休み前後、年末にはお問い合わせが集中することが予想されます。