Skip to content

セキュリティマガジン TREND PARK

 次世代脅威対策アプローチでは、まず初めにパケットに対して脅威解析を行い、ネットワーク上の不正な通信や不審な通信を検知します。同時にファイルのやり取りの通信であれば、ファイルの解析エンジンで分析を行います。そこで得られたプロトコルやポート番号といった情報以外にURLやファイル名といった付加情報をトリガーとして、ネットワークの“ふるまい”解析を実施。プロトコルやデータ、既知の脅威情報における相関分析から不審な通信を特定していきます。この段階でグレーと判断され、更なる解析が必要なファイルは、サンドボックスをベースにした解析システムで実際に挙動を確認して解析します。

トレンドマイクロの次世代脅威対策アプローチ

ネットワークとファイルのふるまいを解析。その相関分析から脅威を特定。既知だけでなく、未知の脅威(※)も検出可能。

 ネットワークの脅威を解析するエンジンには「NCIE(Network Content Inspection Engine)」、「NCCE(Network Content Correlation Engine)」などがあります。「NCIEは不正な通信、つまり不正プログラムによる攻撃を検知するエンジン。どこから、どこに、どんな通信が行われているか判別し、内部感染を早期に発見します。Shellshockなど脆弱性を狙う攻撃にも対応。NCCEはネットワーク上のあやしいグレーな通信を検知するエンジン。単にネットワークパケットを解析するだけでなく、数千にわたるヒューリスティックルール、様々な情報の関係性からリスクを浮き彫りにするため、通常のネットワーク解析では検出できない未知の脅威の検出が可能です(※3)」(太田)。

 ファイル解析エンジンには「ATSE(Advanced Threat Scan Engine)」、「VA(Virtual Analyzer)」などがある。ATSEは従来の検索エンジンにくわえ、ドキュメントエクスプロイト検知を実装した、標的型攻撃に最適化されたエンジン。ドキュメントエクスプロイトとはドキュメントファイルの脆弱性を利用した攻撃。攻撃コードの特徴分析により、既存の不正プログラムだけでなく、未知の脅威(※4)も検出可能です。ドキュメントファイルはOffice、一太郎、PDF、Flashなど一般的なものほか、拡張子偽装(RTLO/RLO right to left override)など広く対応します。ATSEの結果はNCCEに送られ、その他の情報と相関分析が行われます。

 NCCEを経て、さらに解析が必要なファイルがVAに送られます。VAは、サンドボックスと複数の解析エンジンで脅威特定を強化するフレームワーク。「ネットワークやファイル解析の結果を踏まえ、脅威を“ふるい”にかけます。ここで判別できなかったものが、VAに送られます。カスタムサンドボックスと呼ばれる日本語OSやアプリケーションに対応した(※5)、ユーザのデスクトップに近い環境を再現できる仮想環境でファイルを実行し、その結果をさらに複数のエンジンで解析することで脅威を特定していきます。このように、ネットワーク、ファイルの両面からふるまいを多段的に解析することで、未知の脅威(※6)にも対応するのです」と太田は語ります。

Virtual Analyzerの解析フロー

サンドボックスで不審なファイルを実行。実行結果のふるまいやダウンロードファイル、パケットをさらにATSEやSPN(Trend Micro Smart Protection Network)で解析することで脅威を特定。検出された脅威はSPNに反映されることで、検出精度が向上。

Trend Micro Smart Protection Networkとの連携で脅威の特定を強化

 このように次世代脅威対策アプローチは、ネットワーク、ファイル両方のふるまい解析により、強力な内部監視、脅威特定を実現。従来の仕組みでは検出が困難だった脅威を早期に発見し、リスクの拡大を防止するのです。

 多段的な分析エンジンに加え、強力な内部監視を支えているのが脅威情報収集ネットワーク「SPN(Trend Micro Smart Protection Network)」。SPNは世界中のトレンドマイクロやOEM製品およそ1.5億にのぼるデバイスから、様々な情報を収集します。SPNのひとつであるWebレピュテーションでは、ドメイン、Webページの単位でスコアリングを行い、最新脅威をブロックします。

 SPNは1日30万の新しい脅威を特定します。数はもちろんのこと、スピードも大きな強みです。「セキュリティの第三者機関であるNSS Labsによると、トレンドマイクロの新しい脅威への平均対応時間はテスト対象製品のうち、最速の平均14.4分(※7)。新しく検出した不正URLは、5分間隔でWebレピュテーションのサーバに送られ、新規不正URLとしてお客様を防御します。また自動解析による未評価URLも15分で解析が完了されWebレピュテーションに反映されます」と太田は説明します。先述したネットワークおよびファイルの分析エンジンはこの情報を取り込み、新たな脅威を検出します。

SPN(Trend Micro Smart Protection Network)の構成イメージ

世界各国から収集した情報を分析し、日々新たな脅威を特定。特定した脅威情報はクラウドから世界中のトレンドマイクロユーザのソリューションにフィードバックします。

消えた過去をトレースバック、痕跡を追跡し根本原因を突き止める

 トレンドマイクロは、さらに次世代脅威対策アプローチを進化させます。その一つがSPNの新機能「Trend Micro Retro Scan(以下Retro Scan)」。Retro Scanは、過去に遡って脅威の侵入元を突き止める機能。SPN上へのアクセスログを継続的に保管し、C&Cサーバへの接続履歴から脅威の侵入元を特定します。「感染の事実に気づかず、その痕跡を検出することも困難な脅威でも、感染元を突き止めることで、有効な対策を講じることができます」と太田はそのメリットを強調します。

 DDIの最新バージョン3.7に搭載されます。また、今後リリースを予定している「Deep Discovery Endpoint Sensor(以下Endpoint Sensor)」では、クライアントの動作をログとして保存することで、感染端末の追跡が可能になります。つまりRetro Scan、DDI、Endpoint Sensorを連携させることで、さらに強力な内部監視が実現し、ユーザは根本的な対策を行うことが可能になるのです。

 巧妙化するサイバー攻撃に対処し被害の拡散を食い止めるには“水際”だけの対策では不十分。不審な通信、挙動を早期に発見することが重要となります。「それには単一のセキュリティ製品だけでなく、それぞれの強みを活かした製品の組み合わせによる『次世代脅威対策アプローチ』が有効です」と太田。既知の脅威はもちろん、未知の脅威への対応力を高めることで、セキュリティリスクを大幅に低減していくことができるのです。

本稿で紹介した最新技術は、トレンドマイクロのDeep Discoveryシリーズなどに搭載されています。

※3・4・6 すべての未知脅威に対応するものではありません。
※5 2014年7月7日現在 Microsoft Windows XP, Microsoft Windows 7に正式対応。全ての日本語アプリケーションの動作を保証するものではありません。
※7 テスト対象製品:ウイルスバスター クラウド
Consumer EPP Comparative Analysis - Socially Engineered Malware

コアテク・脅威インテリジェンス 記事一覧へ戻る

記事公開日 : 2015.01.20

ページの先頭へ