UNKNOWN 300 - チェック・ポイント・ソフトウェア・テクノロジーズ

「 Unknown 300 」
テスト・レポート
「 UNKNOWN 300 」
テスト・レポート
テスト対象ベンダー4社のうち、
チェック・ポイントの
セキュリティ・ソリューションは
最高のマルウェア検出率を
記録
今日、セキュリティ脅威はかつてないほどのペースで増加、多様化しており、高機能で洗練された
マルウェアが猛威を振るっています。
「 未知の 」脆弱性を悪用するために、既知と未知の脅威を組み
合わせ、文書ファイルや Web サイト、ホスト、ネットワークに潜ませたマルウェアなど、日々新しい
タイプの攻撃が出現しています。攻撃者の目的は、金銭的利益の獲得や政治的・社会的主張のアピール
などさまざまです。攻撃者は、情報の窃取、企業活動の妨害、社会的信用の毀損といった手段を通
じて、これらの目的を達成しようとします。
本書では、チェック・ポイントが実施したマルウェア検出率のテストについて解説し、チェック・
ポイント製品と競合他社のソリューションを比較します。このテストの目的は、ベンダー各社が提供
するセキュリティ・ソリューションのマルウェア検出性能を検証することです。
テスト対 象となったのは、チェック・ポイントを始めとする、FireEye、Palo Alto Networks、
Fortinet の計 4 社の製品です。最終順位は、チェック・ポイントが検出率 100% で第 1 位、次いで
検出率 70% の FireEye が第 2 位という結果になりました 。
テストの概要
チェック・ポイントの調査分析担当者は、Google が運営するマルウェア検査サービス
「 VirusTotal 」
から、既知の不正ファイル 300 個( PDF、DOC、実行可能ファイル )
をダウンロードしました。次に、
この不正ファイルに多少の手を加え、新しい 300 個の未知の亜種、名付けて
「 Unknown 300 」を
作成しました。新たに作成した300 個のマルウェアは、元のマルウェアと同じ不正機能を備えている
ものの、VirusTotalなどハッシュを利用したマルウェア・データベースには登録されていません。分析
担当者は、作成した未知のマルウェアを使用して、ベンダー 4 社が提供するソリューションの検出性能
をテストしました。
テスト対象ベンダー
VirusTotal について
VirusTotal は、Google が運営する
マルウェア検査サービスです。
不審なファイルや URL が登録された
マルウェア・データベースを提供しており、
セキュリティ調査コミュニティで
広く利用されています。
•
•
•
•
チェック・ポイント:ThreatCloud ™ + 13500アプライアンス
FireEye:MVX + NXシリーズ 1310
Palo Alto:WildFire Cloud + PA-5020 ゲートウェイ
Fortinet:FortiSandbox Cloud + FG-1500D ゲートウェイ
テストの公平性を期すため、各プラットフォームには、2014 年 7 月中旬時点で各社が公開している
最新のファームウェアとアップデートを適用しています。またシステム構成は、各社のベスト・プラク
ティスに従っています。なお本テストは、不正ファイル検出率の検証を唯一の目的としています。
パフォーマンス・テストは実施しておらず、またパフォーマンスはテスト結果に一切影響していません。
1
「 Unknown 300 」
テスト・レポート
テストで明らかになった各社の問題点
チェック・ポイントの調査分析担当者は、今回の
「 Unknown 300 」
テストを実施する中で、効果的な
マルウェア対策の妨げとなるいくつかの問題に遭遇しました。
ファイル・サイズ
Palo Alto Networksでは、
エミュレーション可能な
PDFのファイル・サイズが
1MBまでに制限されている
マルウェアのファイル・サイズは多種多様です。そのためセキュリティ・ソリューションでは、大小
さまざまなサイズのファイルに柔軟に対応できる必要があります。Palo Alto Networksは、クラウド
型エミュレーション・サービス WildFire で検査するPDFファイルの上限がデフォルトでわずか
500KB、最大でも1MBとなっています。しかしVirusTotalに登録されているPDFファイルの多くは、
1MB を超えています。
SSLトラフィック
ネットワーク・トラフィックが暗号化されているかどうかは、マルウェアの動作には関係しません 。
そのため SSLトラフィックの中も、非暗号化トラフィックと同じように検査する必要があります。
FireEye は、SSLトラフィックの検査をサポートしていません 。そのため SSLトラフィックがネット
ワークへの侵入経路として利用されるおそれがあります。
検出と防御
テストしたセキュリティ・ソリューションの多くは、未知のマルウェアを検出できても、ネットワーク
への侵入を阻止することができませんでした 。例えば Palo Alto NetworksとFortinet はどちらも、
不審なファイルをクラウドでエミュレートしている間に該当ファイルの通過を許しています。新しいシグ
FireEyeは、
SSLトラフィックの中を
検査できない
ネチャが作成され、問題のマルウェアをブロック可能になるまでには、Palo Alto Networksで30 分、
Fortinetで 60 分かかります。この空白期間は、マルウェアが内部ネットワーク内で拡散するのに十分
な時間です。またエミュレートに必要な時間は Fortinet の Fortiguard が最も長く、1ファイルあたり
平均 10 分以上を要していました 。
アーカイブ・ファイル
セキュリティ・ソリューションでは、多くの組織で広く使用されているrar などのアーカイブ・ファイル
Palo Alto Networksと
Fortinetは、
未知のマルウェアを
検出できても
ネットワークへの侵入を
阻止できない
2
を検査できる必要があります。今回チェック・ポイントの分析担当者が確認したところ、Palo Alto
Networks では zip 以外のアーカイブ・ファイルをエミュレートすることはできませんでした 。
総所有コスト
( TCO )
多くのセキュリティ・ソリューションでは、複数のプロトコルの検査に複数のアプライアンスが必要と
なります。導入や管理の負担を軽減するためには、複数プロトコルの検査に対応したソリューションを
選択する必要があります。例えば FireEye では、電子メール・セキュリティ用とWeb セキュリティ用
にそれぞれ専用のアプライアンスが必要となるため、TCO が増大します。
「 Unknown 300 」
テスト・レポート
ラボ環境の構成
本テストでは、実際のユーザが感染ファイルをダウンロードする状況をシミュレートするためのラボ
環境を用意しました。図 1 は、テスト全体で使用したシステム構成図です。テスト対象の各プラット
フォームでは、IPSやアンチマルウェア、アンチボット、脅威エミュレーションなど、使用可能なすべての
脅威対策機能を有効にし、最新のシグネチャを適用しています。
「 Unknown 300 」
ファイルの内訳は、
PDFファイルが 40%、EXEファイルが 40%、DOCファイルが 20% で、各ファイルはセキュリティ・
デバイスの背後に設置されたホストにダウンロードされます。これは、ネットワーク内のエンドユーザが
不正な Web サイトから誤ってマルウェアをダウンロードする状況をシミュレートしています。なお
接続先 IPアドレスがブラックリストに登録されるのを防ぐため、ファイルごとにホスト・ヘッダを変更
しています。
クライアント・マシン
Web サーバ
図1:ラボ環境の構成
「 Unknown 300 」
の作成
未知のマルウェアを作成するにあたっては、VirusTotalで、10 種類以上のアンチウイルス・エンジンで
不正ファイルとされたPDFファイル、DOCファイル、実行可能ファイルを照会しました。VirusTotal
へのアップロード日が 2014 年 7月以降、サイズが 1MB 未満、不正活動の内容が多様という3 項目を
条件に不正ファイルをリストアップし、その中から、300 個のファイルを無作為に選択しました
( 内訳は
PDFファイルが 120、EXEファイルが 120、DOCファイルが 60 )。
そしてこのうちPDFファイルとDOC
ファイル に 対しては、
「 echo `0000
>> 1.doc 」のようなコマンドでファイル
末尾にnullを追加しました。実行可能
ファイルについては、未使用のヘッダ・
セクションに変更を加えた後、各ファイル
を開いて実行し、元の機能が失われて
いないことを確認しました。またLordPE
という無料ツールを使用して、実行可能
ファイルのチェックサムを変更しています
( 図 2を参照 )。
図2:EXEファイルのチェックサムの変更
3
「 Unknown 300 」
テスト・レポート
サンドボックス・ソリューションの
選択基準となるポイント
• 最新のセキュリティ脅威への対処:未知の
脅 威を含め、最 新のセキュリティ脅 威から
ネットワークを保 護するには、多 層 防 御の
仕組みを採用していることが重要 。
テスト結果
各ファイル形式のマルウェアに対するベンダー各社の検出率を図 3∼ 6 に示します。
合計
Fortinet
• SSLトラフィックの検査:SSLトラフィックに
潜 むマルウェアを 検 査 できな いソリュー
ションは、重要な攻撃経路に対して無力という
ことになる。
Palo Alto Networks
• 不正なファイルのネットワークへの侵入阻止:
多 くの ソ リュ ー シ ョ ン は マ ル ウ ェ ア を
検出できても、ネットワークへの侵入を阻止
することができない 。ネットワークへの侵入を
許した場 合、セキュリティ侵 害のリスクは
大幅に高まる。
• Webと電子メールの検査に必要なアプライ
アンスの台数:一部のソリューションでは、
Web や電子メール、ファイルなどの検査対象
プロトコルごとに専 用のアプライアンスが
必 要 になるため、TCO が 増 大し、管 理 が
複雑化する。
• 幅広いアーカイブ形式の検査:一部のソリュー
ションでは、zipやrarなどのアーカイブ形式で
圧縮されたマルウェアを検出できない 。この
ためアーカイブ・ファイルは、格好の攻撃手段
として利用されている。
27%
62%
FireEye
70%
100%
チェック・ポイント
0%
20%
40%
60%
80%
100%
図3
PDF
Fortinet
EXE
0%
Fortinet 24%
Palo Alto Networks
Palo Alto Networks 53%
FireEye
FireEye
63%
100%
チェック・ポイント
0%
20%
40%
図4
60%
91%
80%
100%
87%
100%
チェック・ポイント
0%
20%
40%
図5
60%
80%
100%
DOC
88%
Fortinet
PAN 23%
FireEye
50%
100%
チェック・ポイント
0%
20%
40%
60%
80%
100%
図6
まとめ
ネットワークを保護するためには、マルウェア検出率の高いセキュリティ・ソリューションを選ぶことが
重要です。
「 Unknown 300 」
のような未知のマルウェアには、検出率の低いソリューションでは対応
できません。同様のテストを実際に試したいというお客様は、チェック・ポイントの販売代理店または
チェック・ポイントまでお問い合わせください 。
マルウェアは、既知であるか未知であるかにかかわらず、業務の中断や生産性の低下といった悪影響を
ビジネスにもたらします。ベンダー各社が公称しているマルウェア検出率の実態を、ぜひご自身の目で
お確かめください 。
[email protected] までお問い合わせください 。
詳細については、
製品に関するお問い合わせ
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
〒160-0022 東京都新宿区新宿 5-5-3 建成新宿ビル 6F
Tel:03( 5367 )2500 E-mail:[email protected]
Web:www.checkpoint.co.jp
©2014 Check Point Software Technologies Ltd. All rights reserved. ※記載された製品仕様は予告無く変更される場合があります。
P/N EWB27J0 2014.08