エンタープライズICT総合誌月刊ビジネスコミューニケーション(Webサイトへ) ●フォーティネットジャパンネクスト・イットルウェア（悪意のあるソフトウェア）の脅威と対策マルウェア対策製品「ThreatAnalyzer」「Metascan」による防御策近年、目立った活動を見せている「マルウェア（悪意のあるソフトウェア）」は、企業のセキュリティ対策をすり抜けて、システムに侵入し、様々な不正行為を行っている。企業の IT ニーズに対応したソリューションを提供しているネクスト・イットでは、マルウェア対策製品を使用した防御策を提案している。「マルウェア」は、日々様々な方法で発信されているうな仕組みで動作するマルウェアもさせないような仕組みを講じるあり、日々様々な方法で発信されて・ PC 等の各クライアントの脆弱性対策（最新パッチ等）、ウイルスいる。企業でのインターネット活用の一このように色々な仕組みで、なお対策および感染防止策を行う般化が進んでいる。コンピュータをかつ常に新種のマルウェアが企業の（USB 等の外部機器対策を含む）立ち上げると、同時にインターネッセキュリティ対策をすり抜けて侵入・企業のセキュリティポリシーをシトを通じて世界とつながっている。することは、容易には防御できないステム使用者全員に徹底教育する大変に利便的なシステムだが、同時のが現状だ。しかし、このような対策を施してに使い方を間違えれば、大変に危険企業がこのようなマルウェアからも、マルウェアには侵入されてしまなシステムにもなってしまう。たと企業システムを守るためには、次のう。もしマルウェアに侵入された場えば、ウイルスに感染してしまうと、ような対策が考えられる。合は、どのような悪意のある動作をシステム自体の破壊や企業データの・インターネットの出入り口に、強行ったかを早急に分析し、被害があ流失など、様々なリスクを抱えてし固なファイアウォール、ウイルスる場合は、被害状況（流失したデーまうことになる。しかしリスクがあ対策ソフト、スパム対策等の防御タおよび量等）を早急に把握して、るからといって、この利便性のあるシステムを導入する対策を講じる必要がある。インターネットを一切使用しないこ・企業内部から外部への情報流失をとは、現状としてはあり得ない。これらの対策として、ウイルス対策ソ ◆正体を明らかにしないため、動作の軌跡が捕らえにくい ◆軌道を捉えようとするとマルウェアが動作を停止したりして、フトの導入やスパム対策などを企業自分自身が隠れてしまう（仮想化環境、デバック等）では既に行っているが、ここ数年、 ◆ネットワークを通じて簡単にお客様のシステムに侵入する目立った活動を見せているマルウェ ◆企業のファイアウォール、ウイルス対策ソフト等を簡単に潜り抜けて侵入を行う ◆日々様々な亜種のマルウェアが発信されて、ア（悪意のあるソフトウェア）は、ウイルス対策ソフトのパターン検知を回避して侵入する企業のセキュリティ対策を簡単にす ◆ Microsoft Office文書、PDFファイル等の文書内部にシェルコード埋め込み動作するり抜けて、企業内システムに侵入し、 ◆パッカー等で圧縮、難読化されており、正体が掴み難いシステム破壊、情報流失、悪意のあ ◆ウイルス対策ソフト、マルウェア対策等のプログラムを停止させて侵入する ◆企業および公的機関を標的に攻撃を行うるサイトへの誘導など、様々な悪意 ◆その他コードインジェクションを行う、のある行動を行っている。また、こカーネルモードでの動作等で正体が明確にできないれらの行動を企業側で知られないよビジネスコミュニケーション 2014 Vol.51 No.4 図 1 マルウェアの主な特徴 65 エンタープライズICT総合誌月刊ビジネスコミューニケーション(Webサイトへ) 軌跡を追跡しようとしても、巧妙なわしいサイトは、UTM（Web セキ手口で分析を逃れようとするため、ュリティ機能）によってアクセスを行動を詳細に分析するには、高度な遮断できるが、UTM でブロックでテクニックが必要になる。このようきないサイトに誘導されて被害に遭「悪意のある」という意味の英語に意図的に自分自身を分析できないうこともある。「Malicious」と「Software」を組ように正体を隠匿するのがマルウェ動作の軌跡が捉えにくく様々な方法で侵入を図るマルウエア（Malware）とは、み合わせたもので、コンピュータウイルスやワーム、クラックツール、最高のセキュリティシステムを導アの特徴だ。入したり、細心の注意をしていても、マルウェアの感染経路として、次完全に自社システムに侵入されないスパイウェア、悪質なアドウェアをの２つがあげられる。ことはありえない。絶対に感染しな指す。Windows 等の OS は、通常は ①悪意のあるサイトからメール添付い対策を講じることが重要だが、そ知識さえあれば、自由にシステム内ファイル（Word、Excel、PDF 等）れ以上に、最悪マルウェアの被害に部の設定を容易に変更できるため、を介して侵入：通常添付ファイル等遭っても早期にマルウェアの実態を悪意のあるソフトウェアを簡単に作を開かなければ感染を防げるが、把握することや、感染経路、感染元成することができる。インターネッ様々な手法で侵入を試みているため、（端末等の特定）、流失したファイルトの発展に伴い、このようなマルウ不注意での操作で感染してしまうこ名や量など被害状況の把握を早期にェアが世界中に数多く発信され、被とがある。UTM（ファイアウォール、行い、対策を講じることが重要だ。害をもたらしている。またマルウェスパム対策等）の強化により、疑わアは、プログラム作成者の利己的なしいメール等は、隔離、破棄をして意図で動作をするため、必ずしもユいるが、完全とはいかずに侵入されーザーやコンピュータに被害を与えるケースが多々ある。るとは限らない。 ②ブラウジングによる、悪意のある様々な経路から企業内システムに図１は、マルウェアの主な特徴をサイトへの誘導：自分は大丈夫と思侵入して、企業のデータ破壊や情報まとめたものだ。このような様々なっていても、知らないうちに悪意の漏洩等を発生させているマルウェ仕組みで企業のシステムに侵入し、あるサイトへ誘導されて感染し、被ア。このマルウェアの詳細を解析しそれを使い企業に多大なる被害を及害に遭うことも多々ある。ブラックて、侵入経路の明確化、システムのぼす。また、その正体や被害状況のリストに登録されているサイトや疑脆弱性、情報漏洩の有無、漏洩先等【ThreatAnalyzer】巧妙なマルウェアを識別する解析ソリューションを解析することは容易ではない。被検知・収集解析（動的・静的）対策害が拡大しているマルウェアの解析を確実に素早く実現するアプリケー ThreatAnalyzerの活用範囲マルウェア対策機器等で、検知、阻止、収集する（自動化が可能）専門の技術者によるマルウェアの解析が必要（特に最近のマルウェアは、様々な方法で自分自身を隠匿するために、解析には高度なテクニックと時間が必要になる）侵入経路および侵入端末の限定、脆弱性対策と被害状況の把握と対応が必要ションソフトウェアとして登場したのが、ネクスト・イットが提供しているマルウェア解析ソフトウェア「ThreadAnalyzer」だ。 ThreatAnalyzer は、短時間（デ機器等で自動化が可能、リアルな対策が可能高度なテクニックと時間を要するより一層の高度な技術者と時間および企業内部の協力が必要検知、阻止できなかったマルウェアの特定と侵入経路、端末並びに時間と対策、被害状況の把握と防止策を短時間で実現する必要がある図 2 マルウェア対策の流れ 66 フォルトで２分間）で様々な手口のマルウェアを解析し、その結果をサマリ（PDF）、詳細分析結果（XML）、ネットワークキャプチャ（PCAP）、ビジネスコミュニケーション 2014 Vol.51 No.4 エンタープライズICT総合誌月刊ビジネスコミューニケーション(Webサイトへ) ●フォーティネットジャパンスクリーンショット、メモリダンプ ThreatAnalyzer サーバなど、様々な形式で提供する。またサンプル投入 ②クライアント（解析実行マシンへの検体投入。キューの管理。マルウェアは、仮想環境では、自分自身を隠匿して、様々な解析を回避・ブラウザベースのコンソール・サンプルの投入・データ、レポートのレポジトリしようとするが、ThreatAnalyzer はこれらの動作を巧みに阻止して、 ThreatAnalyzerクライアント = 動的分析実行マシン確実にマルウェアの分析が行えるツ・ファイル、アプリケーションの実行 URLへの接続・ふるまいのキャプチャ・レポート生成 ③ファイル、アプリケーションの実行、URL先のサーバに接続。ふるまいをキャプチャし、レポートを作成。ールだ。マルウェアを手動かつ様々なオープンソフトで静的に分析すること ⑤次の検体を分析するために環境をクリーンな状態に戻す。仮想マシンの場合予めスナップショットを取り、ロールバック、物理マシンの場合は同梱のDeepFreezeを使ってクラッシュ、リブート。は、高度なテクニックと時間が必要であり、人的な要素が分析にも大きく影響がある。さらにマルウェアは、分析等を避けるため、次のようなテ ①サーバに検体を投入。このプロセスは、API経由で自動化することができる。 ④任意でVirusTotal社のVirusTotalサーバの接続し、無償で42のエンジンでウイルススキャンを受けることが可能。または「Metascan」を使用すれば、企業内での複数社（最大30社）のウイルススキャンが閉環境で可能となる。図 3 ThreatAnalyzer による分析の概要クニックを使用してきた。・圧縮・難読化を施す「パック」らの問い合わせは、ネクスト・イッソフト等のソフトの導入が全体の大・仮想化環境での動作の停止トのサポートセンターであるRiMIC 半を占めている。各社のウイルス対（Risk Management Information 策ソフトの制御権が操作されれば、・監視ツール等の阻止 Center）が対応している。・デバッカ等に対して動作の停止・コードインジェクションをする・カーネルモードでの動作などこのような方法で分析や挙動を隠匿するため、図２に示すとおり、マルウェアを解析するには高度なテクニック日本の大半の企業で、韓国でのサイバーテロと同様の被害が発生するだ【Metascan】世界メーカー（最大 30 社）のウイルス対策ソフトを使用して単一サーバでマルウェアを阻止するソリューションが必要だったが、ThreatAnalyzer をろう。このようなサイバーテロを最小限に食い止める方法として、単一のウイルス対策ソフトだけではなく、複数のウイルス対策ソフトでインター使用することにより、簡単に解析を行国内のほとんどの企業では、インネットの出入口を守る方法と、各社えるようになった。ThreatAnalyzer ターネット出入口でのウイルスやマのウイルスに対しての対策時間、各では、次のような機能を活用して、ルウェア対策に、ウイルスゲートウ社の強み弱み、地理的なものを考慮迅速かつ正確に解析していく。ェイとして単一のウイルス対策ソフして、複数のウイルス対策ソフトを・マルウェア検出エンジントを導入している。このような状況単一サーバで効率よく阻止すること・ Digital Behavior Traits（DBT）を利用したのが、2013 年に韓国でが考えられる。このように単一サー・カスタマイズ可能な分析環境発生したサイバーテロだ。本件では、バ（オンプレミス）で複数（最大30 ・複数の分析の比較各社のウイルス対策ソフトの制御権社）のウイルス対策ソフトを動作さ・ユーザー対話のエミュレーションを操作して、内部に侵入を行い、多せられるソフトとして開発されたの図３は、ThreatAnalyzer による大な被害をもたらした。日本の場合が、ネクスト・イットが提供してい分析の概要だ。ThreatAnalyzer にも、韓国と同様に、ウイルス対策ソる「Metascan」だ。は標準で 24 時間 365 日サポートが付フトとして、トレンドマイクロ、シ属されており、登録された管理者かマンテック、マカフィー、マイクロビジネスコミュニケーション 2014 Vol.51 No.4 Metascan の主な特徴として、次のようなことがあげられる。 67 エンタープライズICT総合誌月刊ビジネスコミューニケーション(Webサイトへ) ◆オフラインアップデート機能：定 ◆コンソールから、各クライアントに対して、ファイル／フォルダやボリュームをチェックし、マルウェアの有無を確認義ファイルの更新のためのインターネット接続が不要。閉環境でのマル ◆ＵＲＬに対しても同様にマルウェアをチェックウェア解析を支援。 ◆スケジュール設定も可能 ◆ハッシュによるスキャンの省略： Web Server Internet Metascan ◆マルウェアチェックの結果をMetascanのデータベースに保管ファイルをハッシュ化し、データベ破棄保管 Firewall DB 社内LAN ースに登録されたハッシュと照合すメール受信ることによりスキャンを省略。 Webアクセス ◆高速処理：１日５万件以上のウイお客様端末 Webまたは専用GUIコンソールルス／マルウェアのチェックが可能。図 4 Metascan の構成例（ベーシック構成） ◆便利なカスタムポストアクション：スキャン後のアクションを自動検出を行っていく。Metascan を導は、大手企業、金融機関、政府、国化（例：感染していないファイルを入することで、水際でのウイルス、防関係機関などに採用さている。ま安全な FTP サーバに転送、異なるマルウェアの捕捉がより一層可能にた、ThreatAnalyzer と同様に、ネファイル形式に変換、感染ファイルなる。クスト・イットの RiMIC を活用し図４は、Metascan の構成例だ。に関するアラートを発信等）。 ◆ API の提供：他のソフトウェアと Metascan は、エンドポイント上のの連携が可能。実行中のプロセスやロードされたラた 24 時間 365 日のサポートを標準で提供している。ニーズに対応した最適なセキュリティソリューションを提供侵入を試みるウイルスを水際で阻イブラリ、システム全体や選択され止するには、複数のウイルススキャたファイル・フォルダ・ドライブをンエンジン（マルチエンジン）を使対象にスキャンしていく。エンドポ図５は、ネクスト・イットが提供用して、確実にそのウイルスを検出イントには何もインストールする必しているセキュリティソリューショできる体制を整えることが重要だ。要がない。クラウドサービスやローンをまとめたセキュリティマップ Metascan は、１台のサーバに複数カルサーバに接続して、複数のウイだ。企業を取り巻くセキュリティののウイルススキャンエンジンを搭載ルス対策エンジンの力を利用する。脅威が日々進化している中、ネススし、ウイルス、マルウェアをスキャこれによって、エンドポイントの正ト・イットでは、ThreatAnalyzer ンし、スループットを維持しながら常な動作が保証される。Metascan や Metascan をはじめ、UTM、フインターネットルート解析／トレース VisualRoute ログ収集、アラームと監査レポーティングマルウェア、悪意のあるサイトを動的解析とレポートソリューション EventsManager ァイアウォール、フィルタリングな ID、パスワード以外で安全に確実に認証する2ファクタ認証システム The GRID ThreatAnalyzer ど、企業ニーズに対応した最適なセキュリティソリューションを提供している。インターネット・ゲート Web/Mailサーバサーバ/クライアント ●お問い合せ先● WebALARM Sophos UTM Firewall、アンチウイルス、 VPNゲート、IPS、スパム対策ネクスト・イット株式会社 Webサイトの改竄検知と復旧、ファイルのバックアップ TEL ： 03-5783-0702（東京本社） LanGuard Metascan 世界メーカ(最大30社)のウイルス対策ソフトを単一サーバでウイルスを阻止ネットワーク、システムの脆弱性およびパッチ、ソフトウェア資産管理図 5 セキュリティマップ 68 運用(オペレーション) EndPointSecurity 外部媒体（USB、DVD等）を統合的に管理 TEL ： 06-6362-2007（大阪事業所） E-mail ： [email protected] URL ： http://www.nextit.jp/ ビジネスコミュニケーション 2014 Vol.51 No.4