サイバー攻撃から企業を守る「インテル セキュリティ」のセキュリティソリューション

インテル セキュリティだけの最新技術でランサムウェアの被害も防ぐ

文／石井英男

マカフィー株式会社
マーケティング本部
ソリューション・マーケティング部
プロダクトマーケティングスペシャリスト
浅野百絵果氏

サンドボックスだけでは流行のランサムウェア対策は万全ではない

　最近のサイバー攻撃では、ランサムウェアの被害が急増していると、佐々木氏がインタビュー「今そこにあるサイバー攻撃の脅威とその対策」で語っているが、実際にセキュリティソフトでランサムウェアへの対処は、従来のウイルス対策の手法では難しいと、浅野氏は指摘する。

　標的型攻撃対策の手法の1つに、サンドボックスと呼ばれる技術がある。サンドボックスは、子供が遊ぶ「砂場」を意味する単語であり、「攻撃されてもよい環境」＝「砂場」を仮想環境上に構築し、その中で疑わしいファイルを動作させ、振る舞いを詳細に分析し、このファイルがマルウェアであるかどうかを判定するという技術だ。サンドボックスで解析した結果をもとに駆除やブロックをする手法は、しばらく潜伏してから活動を開始するようなマルウェアには有効だが、即時性の高いランサムウェアには最適ではないという。

　「ランサムウェアは、データを盗むのが目的ではなく、お金を振り込ませることが目的ですから、目立たせないとむしろ駄目で、潜伏せずにすぐ姿を現わします。データを暗号化して業務を中断させることが狙いですから、感染したらもう駄目なんですね。また、ランサムウェアは毎回形が違うというパターンも多くて、シグネチャー方式では防げないことも多いんですよ。先ほど佐々木が、ランサムウェアを作るためのツールがあると言ってましたが、そういうツールで作ると、毎回違うコードのランサムウェアができるんですね。その2つの特徴があるので、ランサムウェア対策には、皆さん苦労されています」（浅野氏談）。

根本的な対策は社員にファイルを実行させないこと

　ランサムウェアは一度実行してしまうと、即座に重要ファイルが暗号化されてしまうので、実行されてしまったら、バックアップから書き戻すしかなくなる。ランサムウェアなどのマルウェアに対する最も根本的な対策は、怪しい実行ファイルを実行させないことであると、浅野氏は語る。

　「社内のセキュリティを完璧にするには、社員に疑わしい実行ファイルを実行させないこと。このルールを厳しくすることが最も有効です。本当は、ホワイトリスト型の実行制限などを使って業務用PCは業務用のアプリケーション以外の実行ファイルを一切実行させないようにすれば、一番完璧なんです。そうすれば、当然ランサムウェアも実行されませんし、今後出てくるかもしれない新しいタイプのマルウェアにも影響を受けません。しかし、それでは生産性に問題が出てくる業務もありますよね」（浅野氏談）。

McAfee Endpoint Security 10.2の新機能「DAC」ならランサムウェアの被害も防げる

　浅野氏が語る通り、業務用アプリケーション以外の実行ファイルを一切実行させないように制限して、マルウェアの被害を防ぐアプローチもあるが、現実的には難しい業務も多い。そこで、インテル セキュリティが開発した新たな技術が「アプリケーションの動的隔離(Dynamic Application Containment：DAC)」（以下、DAC）である。

　DACは虫かごのようなもので、良いか悪いか判断できなかった実行ファイルは、ひとまず虫かごに閉じ込めて、検査が行われる。その実行ファイルは、即座に駆除されるのではなく、システムに変更を加えたり、ファイルを暗号化するとか、そういったマルウェア的な動作だけが制限。悪意があるものと判断されれば駆除されるし、問題ないと判断されたら解放されるという仕組みだ。

　DACはサンドボックスと組み合わせることもできる。DACで閉じ込められた不明な実行ファイルを、サンドボックスに送って解析することで、より短時間で安全か危険かの判断が可能になる。

　また、サンドボックスがあれば、企業内に設置されたMcAfee Threat Intelligence Exchange(TIE)と呼ばれる脅威情報データベースにその脅威情報が共有することもでき、ランサムウェアなどのマルウェアがいったんサンドボックス（インテル セキュリティではMcAfee Advanced Threat Defense：ATDと呼んでいる) で解析され危険だとわかると、今度はDACより前のレベルでブロックされるようになる。このため、次からはより確実に被害を防げるようになる。つまり、駆除側も自動的に学習して賢くなっていく仕組みを実現しているのだ。

　DACは、疑わしい実行ファイルを隔離して動作を制限することで、未知のマルウェアからの被害を防ぐことができるため、ランサムウェアや今後出てくるかもしれない新たな脅威への対抗に、非常に有効な技術である。現時点では、DACを利用できるのは、インテル セキュリティのセキュリティソリューション「McAfee Complete Endpoint Protecton - Enterprise」のみだが、順次対応製品を増やしていく予定だ。

中小企業に最適な「McAfee Endpoint Protection for SMB」

　インテル セキュリティでは、必要な機能や規模などに応じてさまざまなセキュリティソリューションを提供しているが、その中でも、社員数が数百人以下の中小企業に最適なセキュリティソリューションは「McAfee Endpoint Protection for SMB」である。

　McAfee Endpoint Protection for SMBは、その他のエンドポイントセキュリティ製品と基本的な脅威防止機能は同じだが、クラウドでの統合管理も可能な点が特徴的だ。

　セキュリティ統合管理ソフトの「McAfee ePolicy Orchestrator Cloud」を使うと、脅威防止機能をクラウドから管理できるので、時間や場所を選ばず作業ができる。また、自社内に管理サーバーを用意する必要がないので、導入コストも下げられるメリットもある。

デバイス制御で情報漏洩対策も万全

　インターネット経由でのマルウェア対策が万全でも、社員が機密情報が格納されているUSBメモリーを紛失してしまって、そこから情報漏洩したり、目を離した隙にUSBメモリーにデータをコピーされてしまうといった事例もよく耳にする。逆に、マルウェアが入った怪しいUSBメモリーをUSBポートに挿してしまい、マルウェアが自動実行されてしまったという事例もある。

　しかし、インテル セキュリティのエンドポイントセキュリティ製品には、デバイス制御機能が搭載されており、あらかじめ登録されている暗号化対応USBメモリーしか読み書きを行えないようにすることや、CD-R/DVD-Rドライブなどの読み書き可能なドライブに読み出しのみ許可することなどが可能だ。McAfee Endpoint Protection for SMBでも、こうしたデバイスからの情報漏洩やマルウェア感染などを防ぐこともできる。

　高度なセキュリティ機能を備えたMcAfee Endpoint Protection for SMBは、導入コストを低く抑えることもでき、ユーザーインターフェイスなどもわかりやすいため、導入や運用のハードルが低い。専任のセキュリティ担当者がいない中小企業には最適なセキュリティソリューションといえるだろう。

　こうしたセキュリティソリューションは、いわば「保険」のような存在であり、何かあってから導入するのでは遅いのだ。まだ総合的なサイバー攻撃対策を行っていないのなら、ぜひ、McAfee Endpoint Protection for SMBなどの総合セキュリティソリューションの導入を検討してみてはいかがだろうか。