多様化するランサムウェア攻撃への新しいアプローチ
ゼロデイ攻撃にも対抗できる「脅威除去」とは

2023年9月26日(火)

リスト

ランサムウェア攻撃が厄介なのは、その攻撃パターンが変化を続け、多様化している点にある。次々と新しい攻撃手法を繰り出してくるサイバー犯罪者に対し、防御側は後手に回らざるを得ない。こうした状況に対し、「脅威除去」という新しいアプローチが提唱するのが、OPSWATだ。2023年8月31日に開催されたIT Leaders主催セミナー「ゼロトラストセキュリティ最新像 [防御＆回復力を高める技術と手法]ではOPSWAT JAPAN 代表取締役社長高松篤史氏が登壇。「脅威除去」の有効性について解説した。
提供：OPSWAT JAPAN株式会社

毎日1時間ごとに1万4000件の新しいマルウェアが出現する現実

写真1：OPSWAT JAPAN 代表取締役社長高松篤史氏

　マルウェア・ランサムウェアが猛威を振るっている。国内でも、大手メーカーや医療機関、港湾施設などが被害を受けた。警察庁の調査やIPAへの届出状況を見ても被害件数は増加しており、早急な対策が求められる状況だ。

　セキュリティ企業OPSWATの調査では、毎日1時間ごとに1万4000件の新しいマルウェアが出現しており、2022年までに検出されたマルウェアの総数は11億を超えるという。また、2022年には2万2000件の脆弱性が発見され、悪用された最も古い脆弱性は21年前のものだった。

　被害が減少しない理由の1つとして、近年のマルウェアが、実態を持たない“ファイルレスマルウェア”であることが挙げられる。OPSWAT JAPANの高松氏はこう解説する（図1）。

　「ファイルレスマルウェアは、lnkやrtfなどのファイルにスクリプトを埋め込み、スクリプトがOS標準の機能であるPowerShellを起動して、それを踏み台として使い、外部のC&Cサーバーなどに接続します。本来OSに備わっている機能を悪用して実行されるため、従来のシグネチャー形式での対策では検知がしづらく、高い感染率につながりやすいのです」（高松氏）

　そこで昨今では、マルウェアやランサムウェアへの感染対策として、シグネチャーで防御するEPP（エンドポイント保護）だけでなく、侵入を前提に素早く検知するEDR（エンドポイント検知・対処）の採用が進んでいる。ただ、それでも被害を食い止めることは難しいのが現実だ。

　「そうしたなかOPSWATでは、脅威に対しての発想を転換し、“脅威除去”という新しいアプローチを提唱しています」（高松氏）

図1：ファイルレスマルウェアで感染する仕組み（出典：OPSWAT）
拡大画像表示

金属探知機で隠した刃物を見つけ除去するゼロトラスト型のアプローチ

　高松氏によると、OPSWATが提唱するアプローチは「Trust no file, Trust no device」をうたうゼロトラスト型のアプローチとなる。

　「あらゆるファイルがマルウェアに感染する可能性がある事実を踏まえ、単一のマルウェア対策エンジン、次世代ファイアウォール、サンドボックス、機械学習、EDR、プロキシマルウェア対策ソリューションを組み合わせて、検知に頼らない防御を実現します。脅威を検知するだけでなく、脅威を除去することが特徴です。たとえるなら、刃物を隠し持った侵入者を目視で確認するのではなく、金属探知機で隠した刃物を見つけ、除去するアプローチです（図2）」（高松氏）

　脅威の除去は、脅威の侵入口ごとに行われる。具体的には、脅威が侵入する経路となるeメール、Webトラフィック、クラウドサービス、クラウドストレージ、ファイル転送、リムーバブルメディア、インハウスアプリなどごとにOPSWATの除去技術を適用することで、あらゆる脅威から保護できるようにする。脅威に対して1つの技術で対応するのではなく、さまざまな検知や分析、防御を組み合わせて実施することも特徴だ。

　「脅威に対して、ファイル解読、マルチスキャン、脆弱性評価、脅威の除去（Deep CDR）、DLP（Data Loss Prevention）、OPSWAT Filescan（次世代型のサンドボックス）での検知などを組み合わせた多層防御を実施します。脆弱性評価は、特許技術を利用してアプリケーションとファイルがインストールされる前に脆弱性を検出します。マルチスキャンでは30種類以上の商用マルウェア対策エンジンを1つのソリューションで提供します。検知率は、弊社実測値でTOP10000の脅威に対して99.31%に及びます」（高松氏）

図2：ゼロトラストの考え方、OPSWATを金属探知機の検査でたとえると（出典：OPSWAT）
拡大画像表示

脅威除去を中心に、ファイルスキャン、DLP、サンドボックスなどを統合

　脅威からの保護のなかでも中核的な技術と言えるのが、脅威の除去（Deep CDR）だ。これは脅威を検知するのではなく、脅威自体を取り除くものだ。Webブラウザ上で悪意のあるコードを無害化するソリューションのように、マルウェアに含まれる悪意のあるコードそのものを除去することで、そもそもマルウェアが動作しないようにする。

　「2022年に、ゼロクリックでリモートコード実行を可能にする、Follinaという脆弱性を悪用した攻撃がありました。docファイルにHTMLをダウンロードするためのOLEオブジェクトが含まれていて、そのファイルがMicrosoft Support Diagnostic Toolを悪用して悪意のあるコードを実行するものです。ウイルス対策ソフトが脅威を検知することができないなか、脅威除去の技術を使うことでOLEオブジェクトを削除することで防御しました」（高松氏）

　このほかにも、OPSWATでは、70種類以上のファイルに対応したDLPや、次世代型サンドボックスを使った高速な静的・動的ハイブリッド解析OPSWAT Filescanを多層防御のなかで提供する（図3）。

　「コア技術として脅威除去などの多層防御を提供しながら、多種多様なパートナーと協力してあらゆる脅威の侵入を防御します。例えば、Microsoft 365が提供するeメールセキュリティ、AWSが提供するクラウドストレージ、F5やA10などのWebトラフィック管理ツール、工場などへのUSB持ち込みを制御するKIOSK端末などと連携します」（高松氏）

図3：OPSWATが提供する次世代のセキュリティ技術（出典：OPSWAT）
拡大画像表示

検知に頼らない、脅威を除去するという新しい発想で攻撃に対抗

　OPSWATの製品としては、メールセキュリティを提供する「MetaDefender Email Gateway Security」、クラウドストレージセキュリティを提供する「MetaDefender for Secure Storage」、Webセキュリティ・ネットワーク通信の脅威を防御する「MetaDefender ICAP Server」、持ち込みメディア検査ソリューション「MetaDefender Kiosk」などがある。

　「世界中の1500を超える企業と政府機関で利用されています。企業とフリーランスをつなぐプラットフォームを提供するUpworkでは、職務経歴書や業務実績などのデータの送受信の際に発生するリスクに対し、Deep CDRによる脅威除去を行っています。グローバルで1200万人の会員がいますが、そこから発生するゼロデイファイル攻撃を100％防止しています（図4）」（高松氏）

　このほかにも、グローバルで非常に多くのユーザーが利用するZoom Video Communicationsでは、開発とバックエンドソフトウェアの開発環境で、オープンソースのなかにマルウェアが混入するリスクに対応するために、OPSWATの技術を使って、クリーンなソースコードしか利用できないようにしている。

　また、国内でも、迅速なファイル無害化処理や高度なマルウェア検査処理のためにOPSWATのソリューションを導入した山梨県庁や、重要施設への入室の際にOPSWATで外部メディアをMetaDefender Kioskで、チェックおよび防御している国内エネルギー企業などがある。

　「未知のマルウェアやゼロデイアタックは従来のアプローチでは防ぎきれません。感染を前提に振る舞い検知をして防ぐのではなく、OPSWATはそもそも脅威を入れないということにフォーカスして製品ラインアップを展開しています。検知に頼らない、脅威を除去するという新しい発想の防御が重要です」（高松氏）