ぜい弱性攻撃ブロック機能

ぜい弱性攻撃防御機能のテクノロジー
セキュリティに対するカスペルスキーのアプローチは、多層保護に基づいています。悪意あるプログラムの大多数は第 1 層
で阻止され、たとえば、シグネチャベースの検知によって捕捉されます。ただし、一部の悪意あるオブジェクトに対しては特別
な処置が必要になります。これらのオブジェクトが 1 つのセキュリティ層を飛び越した場合も、別の層で検知されるようにしな
ければなりません。たとえば、複雑化したまったく新しいマルウェアが登場し、そのシグネチャがまだ作成されていない場合も、
Kaspersky Security Network はこのマルウェアをブロックできます。このシステムは、何百万ものカスペルスキーユーザー
から新種のサイバー攻撃に関する情報を収集し、検証および対策をすみやかに行います。次の層はさまざまなプロアクティ
ブディフェンステクノロジーであり、不審なアプリケーションのコードを分析します。保護されたシステム上で悪意のあるアプリ
ケーションが起動してしまった場合でも、その挙動を追跡し、危険な動作はシステムウォッチャーモジュールがブロックします。
しかし、特別な保護層が新たに必要になると考えられるサイバー犯罪の領域が、もう 1 つあります。これは、一般に普及して
いるプログラムのぜい弱性を利用するものです。このサイバー犯罪は、Adobe Flash、Adobe Reader、Java Runtime
Environment、Web ブラウザー、Windows コアコンポーネントなどのソフトウェアに内在する周知のぜい弱性やゼロデイの
ぜい弱性を足がかりとして、被害者の PC 上で悪意あるコードを実行します。ぜい弱性の悪用はマルウェアで広く使用されて
いますが、それ以外にも、従来の保護手法では発見やブロックが難しい、標的型攻撃のベースともなっています。カスペルス
キーはぜい弱性攻撃防御機能と呼ばれる特別な保護層を新しく導入し、これまで知られていなかったぜい弱性攻撃を非常
に効率的に検知します。
典型的なエクスプロイトの動作
あらゆるエクスプロイトの目的は、ソフトウェアに含まれる特定のぜい弱性を動作させることで、さまざまな悪意あるコードを
起動することにあります。ぜい弱なソフトウェアを経由してシステムに感染するには、悪意ある Web サイト(または、改ざんさ
れて悪意あるモジュールを含んだ正規サイト)へユーザーをおびき寄せるか、または、特別な細工を施したドキュメント
(Office ドキュメント、PDF ファイル、または無害に見えるイメージなど)をユーザーにダウンロードさせて開かせる必要があり
ます。感染した Web ページや悪意あるファイルへのリンクは電子メールやインスタントメッセージ、または SNS を介して広が
り、世間で広く使われている検索サイトの結果に表示されることさえあります。多くの場合、典型的なターゲット攻撃は、電子
メールに添付された、一見するとまったく問題ないファイルに見えるが実は特別な細工が施されたファイルをユーザーが開く
ことから始まります。
攻撃対象のソフトウェア
ほとんどすべてのプログラムにはソフトウェアのバグに起因するぜい弱性があり、一部には悪意あるコードの不正実行につ
ながるものもあります。しかし、一般にサイバー犯罪者の標的になるのは、ほぼすべての PC にインストールされているプロ
グラムのみです。これは、多数の潜在的被害者が存在することが保証されているためです。カスペルスキーによると*、2011
年にもっとも狙われたソフトウェアのリストには、次のプログラムやコンポーネントが含まれています。
*http://www.securelist.com/en/analysis/204792216/Kaspersky_Security_Bulletin_Statistics_2011#5
2011 年 アプリケーションのぜい弱性累積数の割合
このグラフから分かるとおり、もっとも攻撃されたソフトウェアは明らかに Adobe Reader です。第 2 位は Java Runtime
Environment であり、第 3 位の Windows オペレーティング・システムは、記録された攻撃の 11%を占めています。全攻撃
の 5 分の 1 では、その他のソフトウェアが使用されています。つまり、標的型攻撃を行うサイバー犯罪者は、まれにしか悪用
されないぜい弱性や、これまで知られていなかったぜい弱性さえ利用する可能性があります。狙われやすいソフトウェアのリ
ストは、時とともに変化することがあります。たとえば、2010 年にもっとも頻繁に攻撃されたソフトウェアは Microsoft Office、
Java、および Adobe Flash でした。2012 年の第 1 四半期、カスペルスキーの製品は、ぜい弱性攻撃が内包されたファイル
を毎月 100 万個以上もブロックしました。ぜい弱性攻撃を含む Web ページの大半が Web アンチウイルスによって阻止され
ていることを考えると、この類のサイバー犯罪による危険も過小評価すべきではありません。
ぜい弱性攻撃に対する一般的な保護手段
カスペルスキー インターネット セキュリティなどのセキュリティ製品では、ぜい弱性攻撃をブロックするためにさまざまな手法
が使用されています。ぜい弱性攻撃を検知するために特別なシグネチャが追加されており、悪意あるファイル(例:電子メー
ルの添付ファイル)が開かれる前に検知するために役立ちます。また、プロアクティブディフェンスやその他のテクノロジーを
利用すると、ぜい弱性を含むファイルが開かれた後でも、悪意あるペイロードを検知しブロックすることができます。最後に、
ユーザーはぜい弱性スキャン機能を使用してぜい弱性のあるソフトウェアを検知し、更新方法のアドバイスを得ることができ
ます。言うまでもなく、ほとんどのぜい弱性攻撃を回避するための最善の方法は、Windows システムコンポーネントやインス
トール済みソフトウェアを定期的に更新することです。
一般的な保護技術が有効でないケースもあります。これは特に、まだ発見されていないか、またはつい最近発見されたぜい
弱性である、ゼロデイのぜい弱性にあてはまります。このケースでは、セキュリティベンダーがシグネチャベースの手法を使
用してゼロデイのぜい弱性を標的にしたぜい弱性攻撃を見分けることは困難です。また、複雑なエクスプロイトがさまざまな
テクニックを駆使してプロアクティブディフェンステクノロジーを突破する場合もあります。従来の保護方法から逃れられる脅
威は比較的少ないとしても、莫大な損害を被る可能性を考慮すると、さらなるセキュリティ層の導入が不可欠です。ここで、カ
スペルスキーのぜい弱性攻撃防御機能の出番になります。
© 1997-2012
Kaspersky Lab ZAO. All Rights Reserved.
ぜい弱性攻撃防御機能の仕組み
ぜい弱性攻撃防御機能は、特にソフトウェアのぜい弱性を悪用するマルウェアを対象としています。その開発は、もっとも蔓
延したぜい弱性攻撃の挙動や特徴を徹底的に分析することから始まりました。特定の種類のぜい弱性攻撃の動作がこの調
査で明らかになり、それによって、この種のマルウェアをその他の悪意あるプログラムや正当なプログラムから区別できるよ
うになりました。また、この機能の開発には、もっとも頻繁に狙われるソフトウェアが考慮に入れられています。その結果、最
新のカスペルスキー インターネット セキュリティおよびカスペルスキー アンチウイルスには、これまでのシステムウォッ
チャーモジュールに加えてぜい弱性攻撃防御が搭載されており、次の新しいセキュリティ手法が提供されています。
潜在的にぜい弱なアプリケーションの制御
ぜい弱性攻撃防御機能は、Adobe Reader、Internet Explorer、Microsoft Office などの、もっとも頻繁に狙われるプログラ
ムに特別な注意を払っています。これらのプログラムが不審な実行ファイルやコードを起動しようとすると、そこから追加のセ
キュリティチェックが開始されます。このような動作は正当なものである可能性もあります。たとえば、Adobe Reader は更新
をチェックするために別の実行ファイルを起動することがあります。しかし、実行ファイルがもつ一定の特徴や、起動を試みる
前の動きによって、悪意ある活動が示唆される場合があります。
起動の試行前動作の監視
不審なコードの起動を試みる前のプログラム動作に関する情報も、マルウェアを特定するために利用できます。ぜい弱性攻
撃防御機能はこの動作を追跡し、コードを起動しようとした起点を検知します。この起点はソフトウェア自体から生じている場
合もありますが、ぜい弱性攻撃に由来している可能性もあります。また、もっとも典型的なぜい弱性攻撃の動作に関するデー
タを利用して、ゼロデイのぜい弱性を悪用したぜい弱性攻撃の検知を行うこともできます。
コード起点の追跡
一部のぜい弱性攻撃、特にドライブバイダウンロード(悪意ある Web ページへアクセスして実行される)で行われるものは、
実行前に特定の Web サイトからペイロードを読み込みます。ぜい弱性攻撃防御はファイルの出所を追跡し、ダウンロードを
開始したブラウザーを正確に突き止め、このファイルのリモート Web アドレスを把握します。さらに、ぜい弱性攻撃防御は特
定のプログラムに対して、ユーザーの同意を得て作成されたファイルと未承認の新規ファイルを区別できます。不審なコード
の起動が試みられると、この情報を利用してぜい弱性攻撃の動作を特定し、これをブロックすることができます。
潜在的なぜい弱性の悪用防止
数多くのプログラムやソフトウェア・モジュールに対して、ぜい弱性攻撃防御機能は Forced Address Space Layout
Randomization(アドレス空間配置のランダム化強制)モードを使用します。ASLR(Address Space Layout Randomization
= アドレス空間配置のランダム化)技術は Windows オペレーティング・システム(Windows Vista 以降)でも使用されていま
すが、カスペルスキーのテクノロジーは、デフォルトの ASLR をサポートしていないプログラムに対してもこれを拡大適用しま
す。その結果として、静的配置でない限り、ある種のぜい弱性攻撃は悪意あるコードがメモリ内のどこにあるかを把握できな
いため、ぜい弱性を利用できなくなります。
搭載製品
ぜい弱性攻撃防御機能は、2013 バージョンのカスペルスキー インターネット セキュリティとカスペルスキー アンチウイルス
で利用できます。これらの製品でデフォルト設定を使用する場合はぜい弱性攻撃防御が有効化されていますが、個別に無効
化することや、システム内のプログラム活動を全体的に追跡管理するシステムウォッチャーモジュールと併せて無効化するこ
ともできます。デフォルトでは、ぜい弱性攻撃防御はすべての不審なコードの起動をブロックします。この新しいテクノロジー
が導入した手法によって、誤検知の確率を非常に低く抑えることができます。また、この機能はインタラクティブモードでも実
行できます。
© 1997-2012
Kaspersky Lab ZAO. All Rights Reserved.
利点
ぜい弱性攻撃防御機能を利用すると、蔓延したマルウェアに感染する確率や、ぜい弱性(ゼロデイであるものも含め)を悪用
した標的型攻撃の被害者となる確率が大幅に低下します。内部テストにおいて、このテクノロジーは、Adobe Flash Player、
QuickTime Player、Adobe Reader、Java、およびその他のプログラムで広く使用されているぜい弱性を悪用したぜい弱性
攻撃のブロックに成功しています。このテクノロジーの有効性をもっとも顕著に示した例の 1 つは、ごく最近見つかった
Windows Media Player のぜい弱性を利用したぜい弱性の検知に成功した事例です。このぜい弱性*は 2012 年 1 月に発
見され、Windows XP 以降のすべてのバージョンの Windows に影響を及ぼします。このぜい弱性を通じて、特別な細工の
施された MIDI ファイル(ユーザーからは完全に無害に見えるかもしれない音楽ファイル)を使用したコードのリモート実行が
可能になります。 *http://technet.microsoft.com/en-us/security/bulletin/ms12-004
広く行き渡った悪意あるオブジェクトは Web アンチウイルスやファイルアンチウイルス、またはアンチスパムなどのセキュリ
ティ機能によってブロックされるため、ぜい弱性攻撃防御はもっとも複雑なぜい弱性攻撃や、これまで知られていなかったぜ
い弱性攻撃を対象としています。したがって、ユーザーを守る包括的なセキュリティが大いに向上します。
© 1997-2012
Kaspersky Lab ZAO. All Rights Reserved.