「 Unknown 300 」 テスト・レポート 「 UNKNOWN 300 」 テスト・レポート テスト対象ベンダー4社のうち、 チェック・ポイントの セキュリティ・ソリューションは 最高のマルウェア検出率を 記録 今日、セキュリティ脅威はかつてないほどのペースで増加、多様化しており、高機能で洗練された マルウェアが猛威を振るっています。 「 未知の 」脆弱性を悪用するために、既知と未知の脅威を組み 合わせ、文書ファイルや Web サイト、ホスト、ネットワークに潜ませたマルウェアなど、日々新しい タイプの攻撃が出現しています。攻撃者の目的は、金銭的利益の獲得や政治的・社会的主張のアピール などさまざまです。攻撃者は、情報の窃取、企業活動の妨害、社会的信用の毀損といった手段を通 じて、これらの目的を達成しようとします。 本書では、チェック・ポイントが実施したマルウェア検出率のテストについて解説し、チェック・ ポイント製品と競合他社のソリューションを比較します。このテストの目的は、ベンダー各社が提供 するセキュリティ・ソリューションのマルウェア検出性能を検証することです。 テスト対 象となったのは、チェック・ポイントを始めとする、FireEye、Palo Alto Networks、 Fortinet の計 4 社の製品です。最終順位は、チェック・ポイントが検出率 100% で第 1 位、次いで 検出率 70% の FireEye が第 2 位という結果になりました 。 テストの概要 チェック・ポイントの調査分析担当者は、Google が運営するマルウェア検査サービス 「 VirusTotal 」 から、既知の不正ファイル 300 個( PDF、DOC、実行可能ファイル ) をダウンロードしました。次に、 この不正ファイルに多少の手を加え、新しい 300 個の未知の亜種、名付けて 「 Unknown 300 」を 作成しました。新たに作成した300 個のマルウェアは、元のマルウェアと同じ不正機能を備えている ものの、VirusTotalなどハッシュを利用したマルウェア・データベースには登録されていません。分析 担当者は、作成した未知のマルウェアを使用して、ベンダー 4 社が提供するソリューションの検出性能 をテストしました。 テスト対象ベンダー VirusTotal について VirusTotal は、Google が運営する マルウェア検査サービスです。 不審なファイルや URL が登録された マルウェア・データベースを提供しており、 セキュリティ調査コミュニティで 広く利用されています。 • • • • チェック・ポイント:ThreatCloud ™ + 13500アプライアンス FireEye:MVX + NXシリーズ 1310 Palo Alto:WildFire Cloud + PA-5020 ゲートウェイ Fortinet:FortiSandbox Cloud + FG-1500D ゲートウェイ テストの公平性を期すため、各プラットフォームには、2014 年 7 月中旬時点で各社が公開している 最新のファームウェアとアップデートを適用しています。またシステム構成は、各社のベスト・プラク ティスに従っています。なお本テストは、不正ファイル検出率の検証を唯一の目的としています。 パフォーマンス・テストは実施しておらず、またパフォーマンスはテスト結果に一切影響していません。 1 「 Unknown 300 」 テスト・レポート テストで明らかになった各社の問題点 チェック・ポイントの調査分析担当者は、今回の 「 Unknown 300 」 テストを実施する中で、効果的な マルウェア対策の妨げとなるいくつかの問題に遭遇しました。 ファイル・サイズ Palo Alto Networksでは、 エミュレーション可能な PDFのファイル・サイズが 1MBまでに制限されている マルウェアのファイル・サイズは多種多様です。そのためセキュリティ・ソリューションでは、大小 さまざまなサイズのファイルに柔軟に対応できる必要があります。Palo Alto Networksは、クラウド 型エミュレーション・サービス WildFire で検査するPDFファイルの上限がデフォルトでわずか 500KB、最大でも1MBとなっています。しかしVirusTotalに登録されているPDFファイルの多くは、 1MB を超えています。 SSLトラフィック ネットワーク・トラフィックが暗号化されているかどうかは、マルウェアの動作には関係しません 。 そのため SSLトラフィックの中も、非暗号化トラフィックと同じように検査する必要があります。 FireEye は、SSLトラフィックの検査をサポートしていません 。そのため SSLトラフィックがネット ワークへの侵入経路として利用されるおそれがあります。 検出と防御 テストしたセキュリティ・ソリューションの多くは、未知のマルウェアを検出できても、ネットワーク への侵入を阻止することができませんでした 。例えば Palo Alto NetworksとFortinet はどちらも、 不審なファイルをクラウドでエミュレートしている間に該当ファイルの通過を許しています。新しいシグ FireEyeは、 SSLトラフィックの中を 検査できない ネチャが作成され、問題のマルウェアをブロック可能になるまでには、Palo Alto Networksで30 分、 Fortinetで 60 分かかります。この空白期間は、マルウェアが内部ネットワーク内で拡散するのに十分 な時間です。またエミュレートに必要な時間は Fortinet の Fortiguard が最も長く、1ファイルあたり 平均 10 分以上を要していました 。 アーカイブ・ファイル セキュリティ・ソリューションでは、多くの組織で広く使用されているrar などのアーカイブ・ファイル Palo Alto Networksと Fortinetは、 未知のマルウェアを 検出できても ネットワークへの侵入を 阻止できない 2 を検査できる必要があります。今回チェック・ポイントの分析担当者が確認したところ、Palo Alto Networks では zip 以外のアーカイブ・ファイルをエミュレートすることはできませんでした 。 総所有コスト ( TCO ) 多くのセキュリティ・ソリューションでは、複数のプロトコルの検査に複数のアプライアンスが必要と なります。導入や管理の負担を軽減するためには、複数プロトコルの検査に対応したソリューションを 選択する必要があります。例えば FireEye では、電子メール・セキュリティ用とWeb セキュリティ用 にそれぞれ専用のアプライアンスが必要となるため、TCO が増大します。 「 Unknown 300 」 テスト・レポート ラボ環境の構成 本テストでは、実際のユーザが感染ファイルをダウンロードする状況をシミュレートするためのラボ 環境を用意しました。図 1 は、テスト全体で使用したシステム構成図です。テスト対象の各プラット フォームでは、IPSやアンチマルウェア、アンチボット、脅威エミュレーションなど、使用可能なすべての 脅威対策機能を有効にし、最新のシグネチャを適用しています。 「 Unknown 300 」 ファイルの内訳は、 PDFファイルが 40%、EXEファイルが 40%、DOCファイルが 20% で、各ファイルはセキュリティ・ デバイスの背後に設置されたホストにダウンロードされます。これは、ネットワーク内のエンドユーザが 不正な Web サイトから誤ってマルウェアをダウンロードする状況をシミュレートしています。なお 接続先 IPアドレスがブラックリストに登録されるのを防ぐため、ファイルごとにホスト・ヘッダを変更 しています。 クライアント・マシン Web サーバ 図1:ラボ環境の構成 「 Unknown 300 」 の作成 未知のマルウェアを作成するにあたっては、VirusTotalで、10 種類以上のアンチウイルス・エンジンで 不正ファイルとされたPDFファイル、DOCファイル、実行可能ファイルを照会しました。VirusTotal へのアップロード日が 2014 年 7月以降、サイズが 1MB 未満、不正活動の内容が多様という3 項目を 条件に不正ファイルをリストアップし、その中から、300 個のファイルを無作為に選択しました ( 内訳は PDFファイルが 120、EXEファイルが 120、DOCファイルが 60 )。 そしてこのうちPDFファイルとDOC ファイル に 対しては、 「 echo `0000 >> 1.doc 」のようなコマンドでファイル 末尾にnullを追加しました。実行可能 ファイルについては、未使用のヘッダ・ セクションに変更を加えた後、各ファイル を開いて実行し、元の機能が失われて いないことを確認しました。またLordPE という無料ツールを使用して、実行可能 ファイルのチェックサムを変更しています ( 図 2を参照 )。 図2:EXEファイルのチェックサムの変更 3 「 Unknown 300 」 テスト・レポート サンドボックス・ソリューションの 選択基準となるポイント • 最新のセキュリティ脅威への対処:未知の 脅 威を含め、最 新のセキュリティ脅 威から ネットワークを保 護するには、多 層 防 御の 仕組みを採用していることが重要 。 テスト結果 各ファイル形式のマルウェアに対するベンダー各社の検出率を図 3∼ 6 に示します。 合計 Fortinet • SSLトラフィックの検査:SSLトラフィックに 潜 むマルウェアを 検 査 できな いソリュー ションは、重要な攻撃経路に対して無力という ことになる。 Palo Alto Networks • 不正なファイルのネットワークへの侵入阻止: 多 くの ソ リュ ー シ ョ ン は マ ル ウ ェ ア を 検出できても、ネットワークへの侵入を阻止 することができない 。ネットワークへの侵入を 許した場 合、セキュリティ侵 害のリスクは 大幅に高まる。 • Webと電子メールの検査に必要なアプライ アンスの台数:一部のソリューションでは、 Web や電子メール、ファイルなどの検査対象 プロトコルごとに専 用のアプライアンスが 必 要 になるため、TCO が 増 大し、管 理 が 複雑化する。 • 幅広いアーカイブ形式の検査:一部のソリュー ションでは、zipやrarなどのアーカイブ形式で 圧縮されたマルウェアを検出できない 。この ためアーカイブ・ファイルは、格好の攻撃手段 として利用されている。 27% 62% FireEye 70% 100% チェック・ポイント 0% 20% 40% 60% 80% 100% 図3 PDF Fortinet EXE 0% Fortinet 24% Palo Alto Networks Palo Alto Networks 53% FireEye FireEye 63% 100% チェック・ポイント 0% 20% 40% 図4 60% 91% 80% 100% 87% 100% チェック・ポイント 0% 20% 40% 図5 60% 80% 100% DOC 88% Fortinet PAN 23% FireEye 50% 100% チェック・ポイント 0% 20% 40% 60% 80% 100% 図6 まとめ ネットワークを保護するためには、マルウェア検出率の高いセキュリティ・ソリューションを選ぶことが 重要です。 「 Unknown 300 」 のような未知のマルウェアには、検出率の低いソリューションでは対応 できません。同様のテストを実際に試したいというお客様は、チェック・ポイントの販売代理店または チェック・ポイントまでお問い合わせください 。 マルウェアは、既知であるか未知であるかにかかわらず、業務の中断や生産性の低下といった悪影響を ビジネスにもたらします。ベンダー各社が公称しているマルウェア検出率の実態を、ぜひご自身の目で お確かめください 。 [email protected] までお問い合わせください 。 詳細については、 製品に関するお問い合わせ チェック・ポイント・ソフトウェア・テクノロジーズ株式会社 〒160-0022 東京都新宿区新宿 5-5-3 建成新宿ビル 6F Tel:03( 5367 )2500 E-mail:[email protected] Web:www.checkpoint.co.jp ©2014 Check Point Software Technologies Ltd. All rights reserved. ※記載された製品仕様は予告無く変更される場合があります。 P/N EWB27J0 2014.08
© Copyright 2024 Paperzz