「ウイルス作成者をジレンマに陥れる」、シマンテックが「SEP 12」新機能を解説
 |
| プロダクトマーケティング部 リージョナルプロダクトマーケティングマネージャの広瀬努氏 |
株式会社シマンテックは23日、企業向けエンドポイントセキュリティ製品「Symantec Endpoint Protection(SEP) 12」に関する記者説明会を開催。レピュテーション技術「Insight」を活用した新機能を紹介した。
Insightは、ユーザーのPCにあるファイルから「ファイル名」「ファイルハッシュ」「ソース」「署名者」「パス」などの情報を収集し、それを基にダウンロードするファイルの安全性を評価する技術。例えば、ダウンロードしようとするファイルが「世界で1人しかインストールしていない」「2日前にリリースされたもの」「デジタル署名もない」と分かれば、エンドユーザーは「インストールを保留する」といった判断が可能となる。
■マルウェア作成者をジレンマに陥れる「Insight」
 |
| マルウェア作成者をジレンマに陥れるという |
一般向けセキュリティ製品「Norton」に実装されている技術だが、SEPにも搭載される。プロダクトマーケティング部 リージョナルプロダクトマーケティングマネージャの広瀬努氏は「これにより、マルウェア作成者をジレンマに陥れ、マルウェア発生に大きな抑止をかけられる」と話す。
マルウェアの数は指数関数的に増加している。それに伴い、定義ファイル/日の数も2000年と比べると数千倍に増えている。その理由は、闇市場に出回るマルウェア作成ツールキットでパターンマッチングに引っかからない亜種の作成も容易になっており、これら亜種を次々と作成しターゲットを絞った標的型攻撃と、それに対応するためのセキュリティベンダーのパターン作成が、一昔前よりもさらに加熱した“イタチごっこ”となっているためだ。
 |  |
| 指数関数的に増大する定義ファイル数 | 簡単に亜種を作成できるツールキットも存在し、“イタチごっこ”が加熱 |
こうした状況に、以前よりパターンマッチング以外の対策が必要という指摘があった。Insightはまさに“イタチごっこ”の連鎖を断ち切ることを主眼に開発された技術とのことで、広瀬氏によれば「変異した脅威(マルウェアの亜種)は、レピュテーションによる検出技術においては極めて目立つ」と語る。
つまり、利用者数が少なく出現してから経過期間が短いものは、レピュテーションが低くなるため、マルウェア作成者は「脅威を変異させすぎるとレピュテーションに検知されやすくなり、あまり変異させないと定義ファイルで検出されてしまい、ある種のジレンマに陥ってしまう」(広瀬氏)というのだ。
■防御における具体的な新機能
では、SEP 12ではInsight技術を用いて具体的にどんな防御を行うのか。紹介されたのは「ダウンロードアドバイザー」「誤検知率の低減」「クラウドスキャン/スキャンレス」の3つの新機能。
「ダウンロードアドバイザー」は、ファイルをダウンロードする際に、PC内の評価データベースおよびシマンテックサーバーから、ファイルのステータス(信頼度、利用者数、存在確認されてからの経過期間)を参照し、定義ファイルでは検知できない不正プログラムに対処する。ファイルの入手先も加味されるため、正規Webサイトから気づかぬうちに不正なWebサイトへ転送されて不正なプログラムをダウンロードしてしまう「ドライブバイダウンロード攻撃」にも対処できる。この攻撃は、2010年末に流行ったガンブラー攻撃で多用されていたものだ。
 |  |
| ダウンロードアドバイザーの概要 | ドライブバイダウンロードへの対処 |
 |
| 誤検知率の低減 |
次に「誤検知率の低減」では、レピュテーション(評価)情報をユーザーにフィードバックさせるInsightの仕組みは、検知率向上に大きな役目を果たすとしている。企業向けには初めて実装されるInsightだが、コンシューマ向けのNortonではすでに2009版から搭載されている。レピュテーションで重要なのは情報を提供するユーザーの母体数だが、Insightの場合はその点で心配がない。実績として、Norton Insgihtでは、1カ月に200万種の新たな脅威をブロックしているという。
またSEP 12では、パターンマッチング、Insightによるレピュテーション、SONARによるビヘイビア(挙動)分析の3段階でマルウェアの侵入を防御している。ビヘイビア分析は、実行されたファイルの挙動を分析し怪しい動きを検知してプログラムの起動を制御するものだが、「レピュテーションデータベースが充実していくと、SONARと連携して挙動分析の精度も向上する」とシステムエンジニアリング本部の藤田平氏は述べている。
最後の「クラウドスキャン/スキャンレス」は、Insightのレピュテーション情報を用いて、スキャン時間を大幅に削減する機能だ。シマンテックサーバーに蓄積されたレピュテーション情報から明らかに安全と思われるファイルをホワイトリスト化し、ユーザーのPC上でのスキャン対象から除外する。また、「スキャンレス」機能により、一度検索したファイルの情報をキャッシュと持つことで、このファイルに関しても次回以降スキャンの対象外とする。
このためSEP 12では初回のフルスキャン以降は大幅な検索時間の短縮が可能となっている。ただし、定義ファイルが更新された際には、その新たな定義でもう一度ファイルをすべてなめる必要がある。そこで定義ファイルの更新時に自動的にスキャンレスのキャッシュをクリアする仕組みも備えられている。
 |  |
| 自動スキャン除外の仕組み | スキャン実行時間のグラフ |
■仮想化環境にも効果的な「クラウドスキャン/スキャンレス」
 |
| キャッシュ情報の共有 |
スキャンレスのためのキャッシュ情報は仮想環境化でも効果を発揮する。仮想環境では、1台の物理サーバー上で複数の仮想マシンが稼動する。そのすべてでウイルススキャンを行うのは、負荷の関係上、難しい問題をはらむ。そこでSEP 12ではスキャンレスのためのキャッシュ情報、すなわち「検索済み」という情報を全仮想マシンで共有する「Shared Insight Cache」という機能を搭載している。
仮想マシンはスキャンを行う際、Shared Insight Cacheサーバーを参照。他の仮想マシンにおいて、同じ定義ファイルでスキャン済みのファイルがあった場合、そのファイルへのスキャンを省略できる。
■4月からパブリックベータ、発売は夏ごろ
現在、SEP 12は招待者向けベータ版の段階にあり、4月からパブリックベータを公開する予定。正式リリースは2011年夏ごろとなる見込みで、世界各国のシマンテック公認付加価値リセラー、ディストリビュータ、システムインテグレーターから購入できる。