どんなソフトウェアアプリケーションにも脆弱性が存在します。その多くはすぐに対処されますが、なかには開発者にすら気付かれない脆弱性もあります。そうした脆弱性を発見し、悪用しようと待ち構えているのがサイバー犯罪者たちです。それどころか、脆弱性の悪用はビジネスとして確立しつつあります。シマンテックの『インターネットセキュリティ脅威レポート』によると、ゼロデイ脆弱性は 2015 年に 125% へと増加しました。
出典:シマンテック『インターネットセキュリティ脅威レポート、2016 年 4 月』
広く利用されている有名なアプリケーションほど脆弱性は少ないものだとお考えなら、それは間違いです。一般的なオペレーティングシステム、エンドユーザー向けのブラウザ、企業アプリケーションなど、要するに社内のソフトウェアスタックのあらゆる層が、危険にさらされています。つい最近も、複数のベンダーが、ソフトウェアスイートに存在する 200 件から 300 件もの脆弱性に対するパッチを公開しました。その多くはリモートで悪用が可能であり、緊急度は最高でした。あるいは、20 年も前から、丸見えの脆弱性が残り続けているオペレーティングシステムもあります。
攻撃者の立場からすると、ブラウザの脆弱性を悪用するというのは、組織の出入口に大きな足がかりを持つことです。オペレーティングシステムの中までアクセスできるというのは、1 台のマシンを感染させたうえで、その 1 台を水飲み場に利用して他のマシンにも感染し、組織内を自在に行き来できることを意味します。そして最終的に、企業アプリケーションに侵入できれば、ミッションクリティカルな情報、ERP システム、顧客データなどにアクセスできることになります。
本当に恐ろしいのは、ゼロデイ脆弱性が、またたく間に武器として利用されることです。『インターネットセキュリティ脅威レポート』でも説明されているように、脆弱性の悪用コードは、アンダーグラウンドで公開されてから数時間以内に、きわめて高機能な悪用ツールキットで使えるようになります。たとえば Angler Exploit kitは、何十万件もの攻撃を引き起こしていますが、ディスクにいっさいファイルを書き込むことなく、メモリからマルウェアをダウンロードして実行できる悪用コードを備えています。従来型の保護方法では大半の検出をすり抜けられてしまいますし、たとえ次世代の手法でも、ファイルに依存する場合は無力です。それほど遠くない過去に、こうした悪用コードは各国にローカライズされた形で出現しました。現在も、世界的な規模で、次々と公開されています。
悪用コードが登場してからでも、ベンダーがパッチを公開するまでに数週間かかる場合もあり、エンドポイントが更新されるにはさらに数カ月かかることもある―そのことをサイバー犯罪者は承知しています。それだけの期間、脆弱性の悪用を続けられれば、重要なデータを盗み出したり、企業を停止に追い込んだりするには十分です。
ここまでお読みになって、このような悪用コードにはどう対処するのがベストかとお考えでしょう。メモリ悪用は、シグネチャでは遮断できません。エンドポイントの新しい特効薬であるマシンラーニングでも識別できないため、 独自の技術が必要になります。それが、悪用防止(Exploit Prevention)です。Symantec Endpoint Protection(SEP)の悪用防止は、「メモリ悪用緩和(Memory Exploit Mitigation)」と呼ばれています。シグネチャのかわりに、悪用コードの動作に関する解釈を利用し、ゼロデイ脆弱性を先制して遮断します。これをインストールしておけば、ソフトウェアの欠陥やバグ、脆弱性を悪用する動作や技術にかかわらず、エンドポイントはメモリ悪用から保護されます。
では、その動作を 2 種類だけ紹介しておきましょう。
ヒープスプレー(Heap Spray)。アプリケーションのメモリを特定のパターンで埋める攻撃です。このパターンは、マルウェアによって管理されたメモリに制御を戻すようアプリケーションに仕向けるだけでなく、実行することもできます。シマンテックは、ヒープスプレー攻撃を緩和するために、このようなパターンで指定されるメモリ上の場所を特定し、例外を生成するコードを挿入して、シマンテックのエンドポイント保護製品に制御を取り戻します。
Java エクスプロイト(Java exploit)が悪用するのは、ロジック上の欠陥です。インタープリタで、あるコールを別のコールと誤解釈させ、セキュリティマネージャの無効化を狙います。それに成功すれば、通常のユーザーが実行できることを攻撃者も自由に実行できるようになります。この場合、最も確実な対処方法は、セキュリティマネージャを無効化できないようにすることです。
これでおわかりのように、どの悪用コードも固有の特徴があるため、緩和するには綿密な戦略が必要になります。同じ動作に対処するときでも複数の取り組み方があり、それぞれ効果が異なることに注意してください。
悪用防止は、ごく限られた用途を想定したものですが、多層型のソリューションにおいて包括的な次世代のエンドポイント保護を導入するうえでは、重要な役割を果たします。
侵入防止システム、マルウェア対策、レピュテーション分析は、ネットワークバケット、シグネチャ、レピュテーションの監視に基づいて大量の攻撃に備えますが、悪用防止はそれらの技術を補完します。
アプリケーション制御によってアプリケーションのホワイトリストを識別できたとしても、悪用防止は欠かせません。すでに述べたように、脆弱性が多く存在するのは、ホワイトリストに載っている「正規の」アプリケーションだからです。
他の次世代テクノロジーでは、ディスクにファイルが書き込まれるか、実行されなければ脅威を特定できないため、悪用防止はほかでは不可能な保護を実現します。エンドポイント保護ソリューションには、マシンラーニングと悪用防止の両方を備えましょう。
攻撃の出どころ(マルバタイズメント、USB メモリから感染したファイルなど)にかかわらず保護します。
いったんデバイスに導入しておけば、悪用防止はユーザーがどこにいてもメモリ攻撃を緩和します。お出かけの前に、万全に備えましょう。
Symantec Endpoint Protection について詳しくは、こちらをご覧ください。
【参考訳】