パロアルト、次世代FWのサンドボックス検知機能「WildFire」を強化

　パロアルトネットワークス合同会社（以下、パロアルト）は15日、次世代ファイアウォールアプライアンス「PAシリーズ」の新OS「PAN-OS 6.0」を発表した。クラウド型マルウェア分析機能「WildFire」の機能を特に強化している。

　パロアルトのPAシリーズは、ネットワークにおけるアプリケーション、ユーザー、コンテンツの状況を可視化し、ポリシーベースの制御を行えるアプライアンス製品。今回はそのOSであるPAN-OSの新版が提供され、特にクラウドベースのマルウェア検知・防御サービスであるWildFireの強化が行われた。

　WildFireでは、EXE、DLLなどWindowsの実行形式のファイルを、クラウド上にある、デスクトップPCの環境に近い仮想環境（サンドボックス）で実行し、その動作を観察することで、ファイルに潜む脅威を識別する。サンプルが見つかっていないマルウェアについても、実際に仮想環境内で実行し、どんな影響をおよぼすかを見て影響範囲を確認できるのが特徴だ。

　このため、マルウェア検体が出回りにくい、標的型攻撃に利用されるマルウェアも見つけ出せるとのことで、実際に、「先週、7日間で1万2667個のマルウェアを発見したが、そのうち、主要なウイルス対策製品でも検知できなかったのが74％あった」（技術本部長の乙部幸一朗氏）のだという。なおクラウドを利用できない企業向けに、オンプレミス環境に設置する「Palo Alto Networks WF-500アプライアンス」も用意されている。

技術本部長の乙部幸一朗氏

WildFireの概要

WildFireの動作イメージ

　今回はこのWildFireにおいて、検査対象となるファイルを拡大。PDF、Microsoft Office文書、Javaを新たに検査できるようにした。乙部氏によれば、マルウェア本体はほとんどが実行形式のファイルとなっているが、それをダウンロードしてくるドロッパ（Dropper）については、これらのファイル形式が使われているため、この検査に対応することで、標的型攻撃の入り口でのブロックを可能にするという。

　従来はWindows XPだけだった検査環境についても、Windows 7を追加。さらに、検査対象としてAndroid APKを、検査環境としてAndroidをサポートしたため、モバイル環境にも対応可能となった。

　なお、WildFireの全機能を利用するにはサブスクリプションライセンスが必要だが、今回、無償で利用できる範囲も一部拡大されている。WildFireでは、シグネチャがない怪しいファイルをクラウド環境へ送信し、マルウェアかどうかを判定する。ここまでは従来も無償だったが、本当にマルウェアだったかという判定結果はライセンス保有者しか確認できなかった。今回の改定では、結果確認までは無償で可能になっているという。

WildFireの強化内容

　WildFire以外の機能では、DNS通信の脅威に対抗するための機能が強化された。具体的には、DNS通信をパロアルトへ送り、その調査を同社が行うことで、悪意のあるDNSドメインの早期発見につなげる「パッシブDNSモニタリング機能」と、ボットなどのマルウェアに感染したPCが、本来のC＆Cサーバーではなく疑似アドレスとやり取りするように通信をねじ曲げ、感染端末の封じ込めを図る「DNSシンクホール機能」が利用できる。

　なお、ソフトウェアの有効な保守契約を保有するPAシリーズのユーザーは、PAN-OS 6.0を無償で利用できるとのこと。

DNS通信における脅威防御機能の強化