比較して分かったウイルス対策製品の実力
いつもご覧いただき、ありがとうございます♪
最新ニュースをお届けします。
エンドポイントのウイルス対策は機能しない——。その秘密が露呈した。業界最大手のウイルス対策ソフトメーカーが、特定の標的を執拗に狙うAPT(Advanced Persistent Threat)攻撃を検出も回避もできなかったとして、大々的に名指しされた。確かにそれは、情報セキュリティの専門家にしてみれば秘密でも何でもなかった。
だが多くのコンシューマー、そして少数の経営陣にとっては、追加的なセキュリティ技術を施さない限り、ウイルス対策製品は現代のサイバー攻撃に対してほとんど無防備だという実態が、今回の出来事によって明るみに出た。幸運にもこの事例は、攻撃者が先進的な手口を使ってウイルス対策製品を簡単に迂回している実態を浮き彫りにした。
概略を振り返ると、米New York Times(以下、Times)は2013年1月下旬、中国からのサイバー攻撃の被害に遭ったと発表した。攻撃は少なくとも4カ月の間、発見されなかった。攻撃者はスピアフィッシングによってネットワークへの接続を確立したと思われ、その後有効なログイン情報を使ってネットワークに侵入。従業員のコンピュータ40台以上にアクセスし、中国首相に関する記事について、記者の情報源を探し回っていた。
※関連記事:何が起きたのか「韓国大規模サイバー攻撃」
→http://techtarget.itmedia.co.jp/tt/news/1306/05/news02.html
Timesの報道によると、攻撃者が同紙のネットワーク上に少なくとも45件のカスタム版マルウェアを仕込んでいたにもかかわらず、同社のシステムにインストールされていた米Symantecのウイルス対策ソフトで検出できたのは、そのうちの1件のみだった。この報道が物議をかもし、Symantecは異例の談話を発表。レピュテーションベース技術や挙動ベースの遮断といった、追加的な層のセキュリティ対策の重要性を指摘した。極め付きは「ウイルス対策ソフトウェアだけでは不十分」というコメントの最後の一行だった。
Symantecは正しい。ウイルス対策製品だけでは、どれほど高度で先進的な経験則を用いても、非公開のネットワークをマルウェアから守ることはできない。企業がウイルス対策製品による検出のみに頼ることがあってはならない。サイバー犯罪集団は今や、あまりに多くの手口を意のままに操り、実行可能ファイルに手を加えている。本稿では攻撃者が使うそうした先進的な手口を検証し、企業が高度なマルウェア攻撃を検出するのがいかに困難で手間が掛かるかを解説する。ただし重要なポイントとして、全てのセキュリティ専門家は台頭してくる新手の手口について研究を続けなければならない。マルウェア作者が使う技術は常に進化を続けている。
※関連記事:Mac安全神話を崩した「クロスプラットフォーム型マルウェア」
→http://techtarget.itmedia.co.jp/tt/news/1211/20/news03.html
●検出回避のための難読化
攻撃者がウイルス対策製品による検出を免れるためにまず使う手口の1つが「圧縮」だ。圧縮は、もともとアプリケーション開発者がプログラムファイルのサイズを縮小して配布しやすくするためのものだったが、マルウェア作者が実行可能ファイルの中身を難読化する目的でこれを使うようになった。攻撃者が圧縮技術を利用すれば、マルウェアのコードに手を加えて定義ファイルベースのウイルス対策ソフトウェアをかわすことができる。圧縮のために使えるアプリケーションは多数あるが、Ultimate Packer for executables(UPX)などの人気が高い。UPXはオープンソースで、Sourceforgeから入手できる。
私は圧縮を通じた難読化の効果を実証するため、この技術を既知のマルウェアサンプルに対して用いてみた。長年の間に遭遇したマルウェアサンプルのコレクションをキープしておくことは、新しい防御策を試し、検出戦略を検証する上で役に立つ。自分のコレクションの中から選んだのは、最も悪名高い2つのマルウェアのコードだった。1つは2012年5月にウイルス対策ソフトに検出されることなくすり抜けたトロイの木馬「Zeus」の亜種。もう1つは偽ウイルス対策ソフトのようなランサムウェアの亜種で、驚異的な成功を収めて世界中のITヘルプデスクを悩ませてきた。
両方とも古くなったマルウェアのサンプルなので、現在市販されているウイルス対策製品の最新の定義ファイルで簡単に検出できる。46種類のウイルス対策エンジンを通じて不審なファイルとURLを分析できる「virustotal.com」の無料Webサービスでテストした結果、Zeusは46エンジン中43エンジンで、偽ウイルス対策ソフトは45エンジン中42エンジンで検出された。
次にこの2つのファイルを圧縮ツールにかけ、出来上がった難読化ファイルをvirustotal.comのサービスで分析し、結果を比較した。
圧縮されたZeusはさらに12のウイルス対策エンジンをかわすことができたが、これは予想通りだった。予想外だったのは、大手数社のウイルス対策エンジンの間で検出状況が異なることだった。米Microsoftのエンジンがこの圧縮ファイルを完全に見落とした一方で、Symantecのエンジンは「Suspicious.SecTool」として分類し直した。
検出したマルウェアの種類を分類し直したのはSymantecだけではなかった。表の通り、McAfeeを除くウイルス対策大手のエンジンの大半が、このマルウェアを分類し直している。McAfeeは、改ざんされていてもこのマルウェアを検出できた。これは有望に思える。次のテストでは、McAfeeが他のマルウェアサンプルでも同じことができるかどうかを検証する必要がある。
偽ウイルス対策ランサムウェアの圧縮を使ったテストでは、達成度はZeusの圧縮のさらに上を行った。全く検出できなかったウイルス対策エンジンはさらに3つ増え、全部で15のエンジンが見落とした。圧縮されたランサムウェアの実行可能ファイルからマルウェアを検出できなかったエンジンの1つはSymantecだったが、見落としたのは同社だけではなかった。
このテストでは米McAfeeとMicrosoftの成績が良かった。しかしそれは、この両社のウイルス対策エンジンが、他社に比べて「優れた」防御を提供してくれると解釈すべきものではない。今回のテストは、1つの圧縮ツールを使って圧縮した、わずか2つのファイルで構成したにすぎない。その結果として単純に、この手段を使ってウイルス対策エンジンをかわせることが実証された。その全てをかわすために利用できる手段はまだ他にいくらでもある。次回は、人気の侵入テストフレームワーク「Metasploit Community Edition」を活用したテスト結果を紹介する。
※後編:検証結果が示す“ウイルス対策ソフト限界説”のウソ、ホント
→http://techtarget.itmedia.co.jp/tt/news/1305/27/news06.html
http://headlines.yahoo.co.jp/hl?a=20130709-00000099-zdn_tt-sci
※この記事の著作権は配信元に帰属します。
通販のe-問屋
最新ニュースをお届けします。
エンドポイントのウイルス対策は機能しない——。その秘密が露呈した。業界最大手のウイルス対策ソフトメーカーが、特定の標的を執拗に狙うAPT(Advanced Persistent Threat)攻撃を検出も回避もできなかったとして、大々的に名指しされた。確かにそれは、情報セキュリティの専門家にしてみれば秘密でも何でもなかった。
だが多くのコンシューマー、そして少数の経営陣にとっては、追加的なセキュリティ技術を施さない限り、ウイルス対策製品は現代のサイバー攻撃に対してほとんど無防備だという実態が、今回の出来事によって明るみに出た。幸運にもこの事例は、攻撃者が先進的な手口を使ってウイルス対策製品を簡単に迂回している実態を浮き彫りにした。
概略を振り返ると、米New York Times(以下、Times)は2013年1月下旬、中国からのサイバー攻撃の被害に遭ったと発表した。攻撃は少なくとも4カ月の間、発見されなかった。攻撃者はスピアフィッシングによってネットワークへの接続を確立したと思われ、その後有効なログイン情報を使ってネットワークに侵入。従業員のコンピュータ40台以上にアクセスし、中国首相に関する記事について、記者の情報源を探し回っていた。
※関連記事:何が起きたのか「韓国大規模サイバー攻撃」
→http://techtarget.itmedia.co.jp/tt/news/1306/05/news02.html
Timesの報道によると、攻撃者が同紙のネットワーク上に少なくとも45件のカスタム版マルウェアを仕込んでいたにもかかわらず、同社のシステムにインストールされていた米Symantecのウイルス対策ソフトで検出できたのは、そのうちの1件のみだった。この報道が物議をかもし、Symantecは異例の談話を発表。レピュテーションベース技術や挙動ベースの遮断といった、追加的な層のセキュリティ対策の重要性を指摘した。極め付きは「ウイルス対策ソフトウェアだけでは不十分」というコメントの最後の一行だった。
Symantecは正しい。ウイルス対策製品だけでは、どれほど高度で先進的な経験則を用いても、非公開のネットワークをマルウェアから守ることはできない。企業がウイルス対策製品による検出のみに頼ることがあってはならない。サイバー犯罪集団は今や、あまりに多くの手口を意のままに操り、実行可能ファイルに手を加えている。本稿では攻撃者が使うそうした先進的な手口を検証し、企業が高度なマルウェア攻撃を検出するのがいかに困難で手間が掛かるかを解説する。ただし重要なポイントとして、全てのセキュリティ専門家は台頭してくる新手の手口について研究を続けなければならない。マルウェア作者が使う技術は常に進化を続けている。
※関連記事:Mac安全神話を崩した「クロスプラットフォーム型マルウェア」
→http://techtarget.itmedia.co.jp/tt/news/1211/20/news03.html
●検出回避のための難読化
攻撃者がウイルス対策製品による検出を免れるためにまず使う手口の1つが「圧縮」だ。圧縮は、もともとアプリケーション開発者がプログラムファイルのサイズを縮小して配布しやすくするためのものだったが、マルウェア作者が実行可能ファイルの中身を難読化する目的でこれを使うようになった。攻撃者が圧縮技術を利用すれば、マルウェアのコードに手を加えて定義ファイルベースのウイルス対策ソフトウェアをかわすことができる。圧縮のために使えるアプリケーションは多数あるが、Ultimate Packer for executables(UPX)などの人気が高い。UPXはオープンソースで、Sourceforgeから入手できる。
私は圧縮を通じた難読化の効果を実証するため、この技術を既知のマルウェアサンプルに対して用いてみた。長年の間に遭遇したマルウェアサンプルのコレクションをキープしておくことは、新しい防御策を試し、検出戦略を検証する上で役に立つ。自分のコレクションの中から選んだのは、最も悪名高い2つのマルウェアのコードだった。1つは2012年5月にウイルス対策ソフトに検出されることなくすり抜けたトロイの木馬「Zeus」の亜種。もう1つは偽ウイルス対策ソフトのようなランサムウェアの亜種で、驚異的な成功を収めて世界中のITヘルプデスクを悩ませてきた。
両方とも古くなったマルウェアのサンプルなので、現在市販されているウイルス対策製品の最新の定義ファイルで簡単に検出できる。46種類のウイルス対策エンジンを通じて不審なファイルとURLを分析できる「virustotal.com」の無料Webサービスでテストした結果、Zeusは46エンジン中43エンジンで、偽ウイルス対策ソフトは45エンジン中42エンジンで検出された。
次にこの2つのファイルを圧縮ツールにかけ、出来上がった難読化ファイルをvirustotal.comのサービスで分析し、結果を比較した。
圧縮されたZeusはさらに12のウイルス対策エンジンをかわすことができたが、これは予想通りだった。予想外だったのは、大手数社のウイルス対策エンジンの間で検出状況が異なることだった。米Microsoftのエンジンがこの圧縮ファイルを完全に見落とした一方で、Symantecのエンジンは「Suspicious.SecTool」として分類し直した。
検出したマルウェアの種類を分類し直したのはSymantecだけではなかった。表の通り、McAfeeを除くウイルス対策大手のエンジンの大半が、このマルウェアを分類し直している。McAfeeは、改ざんされていてもこのマルウェアを検出できた。これは有望に思える。次のテストでは、McAfeeが他のマルウェアサンプルでも同じことができるかどうかを検証する必要がある。
偽ウイルス対策ランサムウェアの圧縮を使ったテストでは、達成度はZeusの圧縮のさらに上を行った。全く検出できなかったウイルス対策エンジンはさらに3つ増え、全部で15のエンジンが見落とした。圧縮されたランサムウェアの実行可能ファイルからマルウェアを検出できなかったエンジンの1つはSymantecだったが、見落としたのは同社だけではなかった。
このテストでは米McAfeeとMicrosoftの成績が良かった。しかしそれは、この両社のウイルス対策エンジンが、他社に比べて「優れた」防御を提供してくれると解釈すべきものではない。今回のテストは、1つの圧縮ツールを使って圧縮した、わずか2つのファイルで構成したにすぎない。その結果として単純に、この手段を使ってウイルス対策エンジンをかわせることが実証された。その全てをかわすために利用できる手段はまだ他にいくらでもある。次回は、人気の侵入テストフレームワーク「Metasploit Community Edition」を活用したテスト結果を紹介する。
※後編:検証結果が示す“ウイルス対策ソフト限界説”のウソ、ホント
→http://techtarget.itmedia.co.jp/tt/news/1305/27/news06.html
http://headlines.yahoo.co.jp/hl?a=20130709-00000099-zdn_tt-sci
※この記事の著作権は配信元に帰属します。
通販のe-問屋
