Emotetは特別に強固な訳ではない

最近、日本においてEmotetというマルウェアが話題になっているが、悪意ある 者向けの汎用ソフトウェアとして広く普及しているだけであり、特別に感染力が強くなく、ただ最近のトレンドとなっているだけのものである。

NVIDIAのCUDAを利用した並列コンピュータが安価に入手できるようになり、悪意のある者(犯罪集団、国家(軍隊、諜報機関))にとってスーパーコンピュータ並の能力を非常に安価で手に入れることができるようになった。この能力を利用して、既存のセキュリティソフトをあざむことが可能なウイルスをAI技術などを用いて効率的に大量生成が可能となったのだ。

Emotetは、昔からある感染のためのVBAマクロを利用したOfficeアプリケーションを通じてC&Cサーバから必要なプログラムをダウンロードし、実行する機能をもつ。マイクロソフトが強く推奨しているように、Officeマクロを標準設定で「実行オフ」に指定しておけば良いだけのことなのだが、常に利用可能に設定してしまっている人が感染してしまう。

VBAマクロによって、AIで開発された既存のセキュリティソフトをすり抜ける悪意あるアプリケーションをダウンロードして実行する。ダウンロードされたアプリケーションは、ランサムウェアであったり、トロイの木馬であったり、機密資料を転送したりと様々な悪意のある行動を行う。

PC Matic法人版利用者が遭遇し、駆除した悪質なアプリケーションとして、弊社は6つの種類を確認した。これらすべて、VirusTotalでは「世界中で一度も検知されたことがないプログラム」であった。そう、使い捨てウイルスなのだ。

C:\ProgramData\PnZdRoPfxYAJ1P.exe
C:\ProgramData\QeJH58beeI2vYYfNGvv.exe
C:\ProgramData\xo8GbzDCgzRcV.exe
C:\ProgramData\PnZdRoPfxYAJ1P.exe
C:\ProgramData\QeJH58beeI2vYYfNGvv.exe
C:\ProgramData\xo8GbzDCgzRcV.exe

これら使い捨てウイルスは、さらに軍事技術にルーツをもつ難読化がなされており、パソコン内の従来型のセキュリティソフトでは、難読化がなされたプログラムを数秒で善悪を判断することは困難かと思われる。このため「強いウイルスだ」と発売元はアナウンスし特殊なものだという印象を与えようとしているのかもしれない。しかし、これらは決して特殊な悪質なウイルスではない。現在、世界中で検知されている悪質なアプリケーションの95%はこうした使い捨てで強固に生成されたものばかりなのだ。

悪意ある組織(最近は国家)が、スーパーコンピュータを利用し、要員、時間と資金をかけて強固に作成した悪質なアプリケーションをパソコンのCPUで数秒で「善悪」が判断できるのだろうか。そこを良く考えて欲しい。手品はないのだ。

ではどうしたらよいのか。実はこのような状況にあることはパコソンを製造・販売していた人たちは2000年を迎える頃には予感していた。また、その頃からパソコンに搭載するセキュリティソフトがパソコン性能の半減させていることを残念に思い、そしてセキュリティソフトがパソコンを不安定にさせることも多かった。「こんな作り方をされてはパソコン性能が台無しだ」と感じ、また不安定になったパソコンの問い合わせ先はセキュリティソフト会社ではなく、パソコンメーカーであることを懸念していた。

そこで、「善良で有用なアプリケーションと悪質なアプリケーションが作成される数は、いつか逆転するのではないだろうか」と考えたパソコンメーカーのサポート部門の人達は、「いつかインターネットが普及すれば、こうした通信網をセキュリティにも活用できるはず」と考え、PC Matic社が誕生。その後生まれたのがSuperShieldと呼ばれるホワイトリスト方式を拡張し、世界中で善良なアプリケーションの情報を共有するグローバル・ホワイトリスト方式なのだ。

グローバル・ホワイトリスト方式は、Windowsの持つ汎用性を標準設定で全て禁止した。まさに逆転の発想。そしてPC Maticがクラウド上で多面的に徹底監査し、善良と判断したアプリケーションのみが起動可能となる。もちろん利用可能Windows APIもアプリケーション毎に限定される。このため、EmotetのようなVBAスクナプトが、悪意ある者が未知の欠陥を利用してOSの操作を試みたり、悪意のあるアプリケーションを実行しようとしても全て起動・活動ができない。例えば、ゼロデイ攻撃にてパソコン侵入を行えたように見えてもルート権限などを取得することができず、万が一権限を取得してもなにも操作・実行することができない。

スーパーコンピュータで作られている昨今の強固な使い捨てウイルスを止めることができるのは、現時点ではグローバル・ホワイトリスト方式だけだ。ブラックリスト方式は感染したパソコンの情報を共有することで他者のパソコンを保護する方式なのだから。グローバル・ホワイトリスト方式はパソコン上で監査せず、クラウド上で徹底的に多面監査する。犯罪者よりも科学捜査研究所のほうが証拠を掴むのに時間と人手を要するのと同様にウイルス作成よりも、この方式はサーバ資源を必要とする。このため監査には時間と費用がかかることになる。セキュリティ保護のための費用は今後増す可能性がある。この方式は、PC MaticとMicrosoft Defender ATP(Enterprise E5ライセンス要)だけだが、他社セキュリティ製品もこの方向を実装する意向を表明してきている。