サンドボックス技術に“静的コード解析”を融合、マカフィーが統合セキュリティ新製品

ブルース・スネル氏

　マカフィー株式会社は31日、高度なマルウェア対策アプライアンス「McAfee Advanced Threat Defense（以下、McAfee ATD）」の国内提供を開始した。

　McAfee ATDは、シグネチャ、Global Threat Intelligence（GTI）によるレピュテーション、ソフトウェア・エミュレーション、サンドボックスといった複数の技術で、マルウェアを検知するアプライアンス製品。2013年3月に買収したValidEdge技術を利用している。マカフィー製のIPSやWebゲートウェイ、メールゲートウェイをセンサー化し、これらの境界製品で善悪を確定できないファイルを転送。McAfee ATDでより高度に解析することで、昨今の巧妙化するマルウェアにも対処する。

McAfee ATD

複数の技術でマルウェアを検知

パッキング技術への対応

　特長は、サンドボックスによる動的解析に加えて、“静的コード解析”技術も融合した点だ。従来のサンドボックスは仮想環境で怪しいファイルを動作させて、悪意あるレジストリ変更、ネットワーク通信、プロセス起動といった挙動を確かめるのが一般的だが、マカフィー テクニカル・ソリューションズ ディレクターのブルース・スネル氏によれば「サンドボックスは有効だが十分ではない」という。

　「サンドボックスはリソースを大量に消費する点、リアルタイムではない点、動的解析はすべてのマルウェアに対して有効とは限らない点が課題。例えば、昨今の標的型攻撃では難読化などのパッキング技術が利用されており、動的解析を回避するような実行遅延の仕組みなどを備えることも多い。実際、静的コード解析によると、コードの43％はサンドボックス内で実行されていなかったというデータもある」という。さらに最近では、マルウェア自体に仮想マシンの作動を検知する機能――つまり、サンドボックスによる動的解析が行われるのを見抜く機能が盛り込まれていたケースもあり、「サンドボックス単体で脅威に対抗するのには限界がある」と指摘する。

　静的コード解析によって、こうしたセキュリティ回避技術に対抗できる。難読化されたマルウェアもアンパックし、不正なオリジナルコードの内容を白日の下に晒すことが可能となるのだ。

製品構成図

サンドボックスの動的解析と静的コード解析を融合

　リソース消費の観点からも、何でもかんでもサンドボックスで処理するのには否定的で、「シグネチャ、レピュテーション、エミュレーションなどで不正なファイルを特定できることも多々ある。負荷の小さなこれらの処理を行って、それでもダメな場合にサンドボックス、あるいは静的コード解析を行うのが現実的」とコメント。複合的な技術を備えたMcAfee ATDの優位性をアピールしている。

　McAfee ATDで悪性が判定されたファイルの情報は、ゲートウェイ製品やGTIにフィードバックされ、次回以降はMcAfee ATDにファイルを転送せずとも対応することが可能となる。また、同社の統合管理製品「McAfee ePolicy Orchestrator（ePO）」と連携し修復する機能も備える。「検知（FIND）」「被害の最小化（FREEZE）」「修復（FIX）」を包括的に行える製品というのが、McAfee ATDの位置づけだ。

　現状はマカフィーのゲートウェイ製品のみとの連携だが、今後はサードパーティ製品とも連携できるようAPIを公開する予定という。価格は、解析可能なファイル数が15万/日のモデルが1214万9860円から。25万/日の上位モデルも用意する。