ぜい弱性攻撃防御機能のテクノロジーセキュリティに対するカスペルスキーのアプローチは、多層保護に基づいています。悪意あるプログラムの大多数は第 1 層で阻止され、たとえば、シグネチャベースの検知によって捕捉されます。ただし、一部の悪意あるオブジェクトに対しては特別な処置が必要になります。これらのオブジェクトが 1 つのセキュリティ層を飛び越した場合も、別の層で検知されるようにしなければなりません。たとえば、複雑化したまったく新しいマルウェアが登場し、そのシグネチャがまだ作成されていない場合も、 Kaspersky Security Network はこのマルウェアをブロックできます。このシステムは、何百万ものカスペルスキーユーザーから新種のサイバー攻撃に関する情報を収集し、検証および対策をすみやかに行います。次の層はさまざまなプロアクティブディフェンステクノロジーであり、不審なアプリケーションのコードを分析します。保護されたシステム上で悪意のあるアプリケーションが起動してしまった場合でも、その挙動を追跡し、危険な動作はシステムウォッチャーモジュールがブロックします。しかし、特別な保護層が新たに必要になると考えられるサイバー犯罪の領域が、もう 1 つあります。これは、一般に普及しているプログラムのぜい弱性を利用するものです。このサイバー犯罪は、Adobe Flash、Adobe Reader、Java Runtime Environment、Web ブラウザー、Windows コアコンポーネントなどのソフトウェアに内在する周知のぜい弱性やゼロデイのぜい弱性を足がかりとして、被害者の PC 上で悪意あるコードを実行します。ぜい弱性の悪用はマルウェアで広く使用されていますが、それ以外にも、従来の保護手法では発見やブロックが難しい、標的型攻撃のベースともなっています。カスペルスキーはぜい弱性攻撃防御機能と呼ばれる特別な保護層を新しく導入し、これまで知られていなかったぜい弱性攻撃を非常に効率的に検知します。典型的なエクスプロイトの動作あらゆるエクスプロイトの目的は、ソフトウェアに含まれる特定のぜい弱性を動作させることで、さまざまな悪意あるコードを起動することにあります。ぜい弱なソフトウェアを経由してシステムに感染するには、悪意ある Web サイト（または、改ざんされて悪意あるモジュールを含んだ正規サイト）へユーザーをおびき寄せるか、または、特別な細工を施したドキュメント（Office ドキュメント、PDF ファイル、または無害に見えるイメージなど）をユーザーにダウンロードさせて開かせる必要があります。感染した Web ページや悪意あるファイルへのリンクは電子メールやインスタントメッセージ、または SNS を介して広がり、世間で広く使われている検索サイトの結果に表示されることさえあります。多くの場合、典型的なターゲット攻撃は、電子メールに添付された、一見するとまったく問題ないファイルに見えるが実は特別な細工が施されたファイルをユーザーが開くことから始まります。攻撃対象のソフトウェアほとんどすべてのプログラムにはソフトウェアのバグに起因するぜい弱性があり、一部には悪意あるコードの不正実行につながるものもあります。しかし、一般にサイバー犯罪者の標的になるのは、ほぼすべての PC にインストールされているプログラムのみです。これは、多数の潜在的被害者が存在することが保証されているためです。カスペルスキーによると*、2011 年にもっとも狙われたソフトウェアのリストには、次のプログラムやコンポーネントが含まれています。 *http://www.securelist.com/en/analysis/204792216/Kaspersky_Security_Bulletin_Statistics_2011#5 2011 年アプリケーションのぜい弱性累積数の割合このグラフから分かるとおり、もっとも攻撃されたソフトウェアは明らかに Adobe Reader です。第 2 位は Java Runtime Environment であり、第 3 位の Windows オペレーティング・システムは、記録された攻撃の 11%を占めています。全攻撃の 5 分の 1 では、その他のソフトウェアが使用されています。つまり、標的型攻撃を行うサイバー犯罪者は、まれにしか悪用されないぜい弱性や、これまで知られていなかったぜい弱性さえ利用する可能性があります。狙われやすいソフトウェアのリストは、時とともに変化することがあります。たとえば、2010 年にもっとも頻繁に攻撃されたソフトウェアは Microsoft Office、 Java、および Adobe Flash でした。2012 年の第 1 四半期、カスペルスキーの製品は、ぜい弱性攻撃が内包されたファイルを毎月 100 万個以上もブロックしました。ぜい弱性攻撃を含む Web ページの大半が Web アンチウイルスによって阻止されていることを考えると、この類のサイバー犯罪による危険も過小評価すべきではありません。ぜい弱性攻撃に対する一般的な保護手段カスペルスキーインターネットセキュリティなどのセキュリティ製品では、ぜい弱性攻撃をブロックするためにさまざまな手法が使用されています。ぜい弱性攻撃を検知するために特別なシグネチャが追加されており、悪意あるファイル（例：電子メールの添付ファイル）が開かれる前に検知するために役立ちます。また、プロアクティブディフェンスやその他のテクノロジーを利用すると、ぜい弱性を含むファイルが開かれた後でも、悪意あるペイロードを検知しブロックすることができます。最後に、ユーザーはぜい弱性スキャン機能を使用してぜい弱性のあるソフトウェアを検知し、更新方法のアドバイスを得ることができます。言うまでもなく、ほとんどのぜい弱性攻撃を回避するための最善の方法は、Windows システムコンポーネントやインストール済みソフトウェアを定期的に更新することです。一般的な保護技術が有効でないケースもあります。これは特に、まだ発見されていないか、またはつい最近発見されたぜい弱性である、ゼロデイのぜい弱性にあてはまります。このケースでは、セキュリティベンダーがシグネチャベースの手法を使用してゼロデイのぜい弱性を標的にしたぜい弱性攻撃を見分けることは困難です。また、複雑なエクスプロイトがさまざまなテクニックを駆使してプロアクティブディフェンステクノロジーを突破する場合もあります。従来の保護方法から逃れられる脅威は比較的少ないとしても、莫大な損害を被る可能性を考慮すると、さらなるセキュリティ層の導入が不可欠です。ここで、カスペルスキーのぜい弱性攻撃防御機能の出番になります。 © 1997-2012 Kaspersky Lab ZAO. All Rights Reserved. ぜい弱性攻撃防御機能の仕組みぜい弱性攻撃防御機能は、特にソフトウェアのぜい弱性を悪用するマルウェアを対象としています。その開発は、もっとも蔓延したぜい弱性攻撃の挙動や特徴を徹底的に分析することから始まりました。特定の種類のぜい弱性攻撃の動作がこの調査で明らかになり、それによって、この種のマルウェアをその他の悪意あるプログラムや正当なプログラムから区別できるようになりました。また、この機能の開発には、もっとも頻繁に狙われるソフトウェアが考慮に入れられています。その結果、最新のカスペルスキーインターネットセキュリティおよびカスペルスキーアンチウイルスには、これまでのシステムウォッチャーモジュールに加えてぜい弱性攻撃防御が搭載されており、次の新しいセキュリティ手法が提供されています。潜在的にぜい弱なアプリケーションの制御ぜい弱性攻撃防御機能は、Adobe Reader、Internet Explorer、Microsoft Office などの、もっとも頻繁に狙われるプログラムに特別な注意を払っています。これらのプログラムが不審な実行ファイルやコードを起動しようとすると、そこから追加のセキュリティチェックが開始されます。このような動作は正当なものである可能性もあります。たとえば、Adobe Reader は更新をチェックするために別の実行ファイルを起動することがあります。しかし、実行ファイルがもつ一定の特徴や、起動を試みる前の動きによって、悪意ある活動が示唆される場合があります。起動の試行前動作の監視不審なコードの起動を試みる前のプログラム動作に関する情報も、マルウェアを特定するために利用できます。ぜい弱性攻撃防御機能はこの動作を追跡し、コードを起動しようとした起点を検知します。この起点はソフトウェア自体から生じている場合もありますが、ぜい弱性攻撃に由来している可能性もあります。また、もっとも典型的なぜい弱性攻撃の動作に関するデータを利用して、ゼロデイのぜい弱性を悪用したぜい弱性攻撃の検知を行うこともできます。コード起点の追跡一部のぜい弱性攻撃、特にドライブバイダウンロード（悪意ある Web ページへアクセスして実行される）で行われるものは、実行前に特定の Web サイトからペイロードを読み込みます。ぜい弱性攻撃防御はファイルの出所を追跡し、ダウンロードを開始したブラウザーを正確に突き止め、このファイルのリモート Web アドレスを把握します。さらに、ぜい弱性攻撃防御は特定のプログラムに対して、ユーザーの同意を得て作成されたファイルと未承認の新規ファイルを区別できます。不審なコードの起動が試みられると、この情報を利用してぜい弱性攻撃の動作を特定し、これをブロックすることができます。潜在的なぜい弱性の悪用防止数多くのプログラムやソフトウェア・モジュールに対して、ぜい弱性攻撃防御機能は Forced Address Space Layout Randomization（アドレス空間配置のランダム化強制）モードを使用します。ASLR（Address Space Layout Randomization = アドレス空間配置のランダム化）技術は Windows オペレーティング・システム（Windows Vista 以降）でも使用されていますが、カスペルスキーのテクノロジーは、デフォルトの ASLR をサポートしていないプログラムに対してもこれを拡大適用します。その結果として、静的配置でない限り、ある種のぜい弱性攻撃は悪意あるコードがメモリ内のどこにあるかを把握できないため、ぜい弱性を利用できなくなります。搭載製品ぜい弱性攻撃防御機能は、2013 バージョンのカスペルスキーインターネットセキュリティとカスペルスキーアンチウイルスで利用できます。これらの製品でデフォルト設定を使用する場合はぜい弱性攻撃防御が有効化されていますが、個別に無効化することや、システム内のプログラム活動を全体的に追跡管理するシステムウォッチャーモジュールと併せて無効化することもできます。デフォルトでは、ぜい弱性攻撃防御はすべての不審なコードの起動をブロックします。この新しいテクノロジーが導入した手法によって、誤検知の確率を非常に低く抑えることができます。また、この機能はインタラクティブモードでも実行できます。 © 1997-2012 Kaspersky Lab ZAO. All Rights Reserved. 利点ぜい弱性攻撃防御機能を利用すると、蔓延したマルウェアに感染する確率や、ぜい弱性（ゼロデイであるものも含め）を悪用した標的型攻撃の被害者となる確率が大幅に低下します。内部テストにおいて、このテクノロジーは、Adobe Flash Player、 QuickTime Player、Adobe Reader、Java、およびその他のプログラムで広く使用されているぜい弱性を悪用したぜい弱性攻撃のブロックに成功しています。このテクノロジーの有効性をもっとも顕著に示した例の 1 つは、ごく最近見つかった Windows Media Player のぜい弱性を利用したぜい弱性の検知に成功した事例です。このぜい弱性*は 2012 年 1 月に発見され、Windows XP 以降のすべてのバージョンの Windows に影響を及ぼします。このぜい弱性を通じて、特別な細工の施された MIDI ファイル（ユーザーからは完全に無害に見えるかもしれない音楽ファイル）を使用したコードのリモート実行が可能になります。 *http://technet.microsoft.com/en-us/security/bulletin/ms12-004 広く行き渡った悪意あるオブジェクトは Web アンチウイルスやファイルアンチウイルス、またはアンチスパムなどのセキュリティ機能によってブロックされるため、ぜい弱性攻撃防御はもっとも複雑なぜい弱性攻撃や、これまで知られていなかったぜい弱性攻撃を対象としています。したがって、ユーザーを守る包括的なセキュリティが大いに向上します。 © 1997-2012 Kaspersky Lab ZAO. All Rights Reserved.