- トレンドマイクロ セキュリティブログ - https://blog.trendmicro.co.jp -

「ヒューリスティック検索+サンドボックス」対策、標的型攻撃やゼロデイ脆弱性利用対策に有効

トレンドマイクロは、標的型攻撃への対策に尽力していますが、1つの技術では、企業のネットワークに甚大な影響を与える攻撃キャンペーンから完全に保護できないことを知っています。これは残念ながら事実です。しかし、「仮想環境(サンドボックス)」やヒューリスティック検索などのセキュリティ対策技術を活用し、併用することで、包括的により強固に保護することができます。

ヒューリスティック検索とサンドボックスは、それぞれの技術が抱える弱点を相互に補完しており、これらを活用することで、可能な限り早い段階で、未知の脅威を効果的に検知することができます。ルールベース方式を採用するヒューリスティック検索は、不正の可能性のあるファイルをすみやかに検出します。この技術を効果的に活用するには、いかによくルールが定義されているかにかかっています。一方、サンドボックスは、仮想記憶装置などの保護された環境下で安全に不審なファイルを実行する方法です。PC を感染させずにファイルの挙動を確認できます。

■効率と正確性
実際の場面では、ヒューリスティック検索はフィルタの役割を担い、サンドボックスにその後ファイルが送信されます。こうすることで、コストを削減し、システム能力を向上させることができます。また、ヒューリスティック検索は、ファイルの種類の決定、またこの 2つの技術が併用できるかを判断します。例えば、ヒューリスティック検索は、ファイルが Word 2003 なのか、それとも Word 2007 なのか、もしくは Word 1.0なのかをサンドボックスに伝えます。こうしてサンドボックスは、適切かつ想定された環境下でそのファイルを実行することができます。

さらに、あらゆる環境下ですべてのファイルをサンドボックスで解析するリソースが企業にあったとしても、サンドボックス内で実行したときに何の不正活動も見せない不正プログラムも存在します。そういった場合に IT管理者ができうる最善の策は、検出の幅を広げるために、最初にヒューリスティック検索を用いて、早い段階でこうした不正プログラムを検出することでしょう。

■ゼロデイ脆弱性と 2つのソリューション
上述したように、ヒューリスティック検索とサンドボックスを効果的に活用するには、ヒューリスティック検索のルールがいかに良く定義されているかにかかっています。こうしたルールは、未知の脅威を事前に検知できるよう十分に先を見据える必要がありますが、しかしまた、誤検出を避けるために十分に具体的である必要があります。

こうしたルールの効果を確認する良い方法の 1つは、これらのルールがゼロデイ脆弱性にどのように働くかを確かめることです。ゼロデイ脆弱性は、未修正の脆弱性を利用しますが、既存の脆弱性と似たような技術を用います。そのため、ヒューリスティック検索のルールが十分に機能していれば、こうしたゼロデイ脆弱性も検知することができます。

例えば、「Trend Micro Advanced Threat Scan Engine」で長年使用されているヒューリスティック検索のルールでも、最近のゼロデイ脆弱性を検出することができます。

  1. CVE-2014-0515 [1](2014年5月確認):2014年に追加されたルールにより、「HEUR_SWFJIT.B」として検出
  2. CVE-2014-1761 [2](2014年4月確認):2012年に追加されたルールにより、「HEUR_RTFEXP.A」および「HEUR_RTFMALFORM」として検出
  3. CVE-2014-0496 [3](2014年2月確認):2010年に追加されたルールにより、「HEUR_PDFEXP.A」として検出
  4. CVE-2013-3346 [4](2013年11月確認):2010年に追加されたルールにより、「HEUR_PDFEXP.A」として検出

■早期検知の目的
企業は、ネットワークへの攻撃に備えてください。進行している標的型攻撃キャンペーンの検知が遅くなればなるほど、被害を軽減するのが難しくなるだけでなく、検知でさえ困難になることを理解しなければなりません。ネットワークを保護する IT管理者にとって、早期の検出は最優先事項です。多重層の保護により、高い効果を上げることができます。

※協力執筆者:Kuanyu Chen、Shih-hao Weng および Sunsa Lue

参考記事:

  • Heuristic Scanning and Sandbox Protection: Best of Both Worlds [5]
    by Chingo Liao [6] (Threats Analysts)
  •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)