ファイア・アイは2019年1月17日、企業が受信する電子メールに対してマルウェア検知を行うアプライアンス機器「FireEye - Eメール・セキュリティ Serverエディション」の機能を強化したと発表した。新たに、マルウェアをマシンラーニング(機械学習)で検知する「MalwareGuard」機能を追加した。
FireEye - Eメール・セキュリティ Serverエディションは、標的型攻撃の入口対策として、ユーザー企業が受信するメールに含まれるマルウェアや疑わしいURLを検知し、これらから防御するハードウェアアプライアンス製品である(写真1)。サンドボックスを使ってマルウェアの振る舞いを検知する仕組みをとり、パターンファイルがない未知のマルウェアも発見できる。
写真1:FireEye - Eメール・セキュリティ Serverエディション(出典:ファイア・アイ)アプライアンス上では、Windowsを動作させた仮想マシン群(サンドボックス)を用意し、この上でマルウェアの疑いがあるファイルを実際に実行させる。ファイルの振る舞い(メモリーやレジストリに発生するイベントなど)を解析してマルウェアかどうかを判定する。設置方法として、メールの中継経路に置いてインライン型で動作させるやり方と、受信メールのコピーを収集して検査する方法のいずれも可能である。
今回の強化では、マルウェアを検出する方法として、マシンラーニングを用いた「MalwareGuard」機能を追加した。マルウェアのサンプルなどを学習して作成した、未知のマルウェアを判定できるモデルを使って判定する。同機能は、これまで同社のエンドポイント向けマルウェア対策製品のエージェントソフトが搭載していた機能であり、今回、アプライアンス機器にも搭載した形である。
今回の強化ではさらに、サンドボックス型の対策製品の弱点を補う機能を強化した。例えば、攻撃者は、サンドボックスで実行できないように、ファイルをパスワードで保護し、パスワードを画像化してメールに添付することがある。こうしたケースでも、画像ファイルからパスワードを読み取ってファイルの保護を解除してサンドボックスで実行できるようにした。
サンドボックス回避技術に対抗する能力も高めた。サンドボックス上にエンドポイントのドメインやドメインユーザー、OutlookデータやWebブラウザイメージを再現する「Guest Image」をカスタマイズできるようにした。実際に使っているエンドポイントを、より忠実に偽装できるようになった。サンドボックスでありながら、あたかも本番環境で実行しているように見えるため、マルウェアを検知しやすくなった。
