国家による標的型攻撃ウイルスはリアルタイム防御できない

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

本日、あるセキュリティ展示会の案内メールで「ディープラーニングを用いたマルウェア対策。未知/既知問わず、様々なファイルタイプのマルウェアをリアルタイムで検知・防御」という聞こえのよい言葉が並んでいました。しかし実際、このようなことを実現するためには量子コンピュータが必要と言われています。

このサービスが量子コンピュータを利用したクラウド上のサービスであれば実現できることでしょう。実際にはエンドポイント型(EPP)製品です。なぜできないのか、そのためには悪意あるソフトウェアを誰が、どのように作成しているかを知ることが鍵となります。

昔は技術をもつプログラマーのイタズラ目的で作っていた

ウイルスは昔、プログラム開発に腕のある人がイタズラや技術の確認で開発し、年間発見数も少ないものでした。そうした人たちの手によってソースコードがWeb上に一般公開されるようになると、そのソースコードを改変したウイルス数が多くなりました。そうした改変ウイルスは異なるファイルハッシュ(MD5)を持つものの、ソースコードスキャニングというバイナリーをソースコードに戻す技術で簡単に検知し防御することが可能でした。これがブラックリスト方式+ヒューリスティック方式による従来型セキュリティソフトの基本的なロジックになります。

国家情報機関の事例

インターネットとスマートフォンが国際的に広く普及し、多くの人々が限られたメディア(新聞・TV・ラジオなど)だけではなく、ソーシャルネットワークなどを通じて、世界中で引き起こされる戦争で人々が巻き添えになっていることを知ると、兵士を紛争地に送り出すことに対する非難が増してきました。

これに対応するため、各国政府は様々な代替策で目的を達成する方法を検討・実施してきました。そのひとつがサイバー攻撃です。既知であり有名な事例としては、イランがウラン濃縮施設を稼働させ核爆弾の開発を行っていることを阻止しようと、アメリカおよびイスラエル(そしてサウジアラビア)は共同して、イランをサイバー攻撃し、ウラン濃縮施設を物理的に破壊させることを計画しました。

この施設はインターネットに接続されていませんでしたが、施設内に投げ込まれたUSBメモリにウイルスを仕込み、それを発見した施設内の従業員がなにげなくパソコンに差したことで感染に成功させたと言われています。このスタクスネットと呼ばれるウイルスは、OSの2つの未知の欠陥情報を米国から提供を受け、米国の豊富な資金援助でイスラエルで開発されたと推測されています。

スタクスネットは、即座に破壊活動を開始するのではなく、オフラインで稼働するウイルスはUSBメモリなどに感染を繰り返し、インターネット接続されている複数台のパソコンを通じて、米国情報部門へ内情の連絡を幾度となく続けました。

最終的にはウラン濃縮施設で稼働するドイツ シーメンス社の遠心分離機の制御をのっとり、動作可能速度超える速度で稼働させることで、遠心分離機を物理的に破壊することに成功したとされています。イランのウラン濃縮施設のパソコンでは、もちろんエンドポイント保護(EPP)製品はインストールされ、定期的に最新版に更新されていました。

スタクスネットのように物理的な破壊を行う特殊なウイルスは少ないと思われるでしょうが、発電所の制御機械を暴走させ発電所自体を爆発させたり、武器貯蔵庫の爆発炎上、鉄道システム、送電線や信号機を乗っ取り障害を発生させる事案は既に発生しています。サイバー攻撃は物理的な兵器と同じ効果をもたらすのです。

国家情報機関およびその傘下の民間組織が9割以上を生成

こうした軍事行動の他に、社会主義国は、資本主義国が研究・開発費を投じて開発してきた軍事技術を諜報することで、効率的に資本主義国が開発した技術を取得してきた歴史的な過去があります。コンコルド旅客機そっくりなTu-144。スペペースシャトルそっくりなブラン宇宙船。完コピな製品よりも実際には技術を盗んだことで主要部品およびその関連製品を生産することだけに専念することができた事例は数多くあります。

こうした機密情報の取得行為は、いまやサイバー攻撃で自宅から組織の事務所へ民間人同様に会社員のように通うことのみで実行され、ジェームス・ボンドのような危険を犯すことなく容易に行うことができるようになりました。日本の防衛産業(パスコ、神戸製綱、三菱電機)にハッキングしたのもこうした背景があります。侵入し諜報活動を行うために、資金力・組織力・スーパーコンピュータを保有する国家諜報機関およびその傘下の民間組織が活動しています。国家情報部門の総数は世界で数十万人とも言われています。

こうした組織が作成したウイルスは、バイナリーからソースコードへと戻すことが困難になるよう難読化という軍事技術に起源をもつ方法で高度に暗号化され、分析が行いづらいように作られています。従って、実際にどのような挙動が行われるかは、サンドボックスと呼ばれる仮想的なパソコン内で実際に動かしてみるしかありません。

スタクスネットのようにこうした組織が開発したウイルスは即座に活動するのではなく、特定のキーを叩いた際、特定の日時、特定のインターネット・ゲートウェイアドレスを検知した際など、様々な活動キートリガーがあります。またセキュリティソフトをかいくぐるための研究も熱心にされて作成されており、

  • サンドボックス上で稼働していないか確認
    (パソコンのメーカ名がセキュリティソフトの社名とか)
  • 複数ファイル合体や自己解凍して変化するポリモーフィック型
  • セキュリティソフトのサービス稼働を検知し停止
  • 1回きりの使い捨てウイルス
    (発見される98%が再犯されておらず、未知のウイルス)
    など様々な回避策が実装されているもの があります。

豊富な資金力に多くの専門的な人材、そしてスーパーコンピュータすら有して開発されたウイルスを、パソコン内で稼働し、ほんの数秒で「悪質だ」と分析することは現実的でないことは、相手を知ることで理解していただけると思います。数人の犯罪組織が宝石を奪うのに5分しか要しませんが、警察や科学捜査班が犯人の手口と犯人像の推測をするまで数カ月と述べ数千人の捜査員が必要となるのはご存じですよね。ウイルスとセキュリティソリューションも同じことです。犯罪相手は多くの専門家を抱える国家組織なのです。

一方、セキュリティソリューションを提供する民間企業の専門家は多くても数百人です。多勢に無勢です。そして国家資金 vs ソリューションの売上金。力の差は想像にたやすいことでしょう。

民間企業・政府はどのように守備すべきか

展示会での来場者勧誘メールにあった「未知/既知問わず、様々なファイルタイプのマルウェアをリアルタイムで検知・防御 」ということは、残念ながら理想と捉え忘れるべきです。犯罪捜査同様に、こちらもスーパーコンピュータと人工知能を用いて徹底的な多面監査を行った上で、善良と判断されたプログラムのみ利用可能とするべきなのです。

この善悪の判断を行うのは、コールされているAPIや難読化の状況にもよりますが、 スーパーコンピュータと人工知能 を利用したPC Maticの場合では15分~24時間を要します。遅いとお叱りを受けますが、これでもかなり高速化に力をいれています。

また実は即座に判断しないことでメリットもあります。最近のEMOTETはオフィスの添付ファイルを開くと即座に動き出しますが、「未知のプログラムは即座に実行させず、まずクラウド上で多面監査に回す」というグローバル・ホワイトリスト方式の考え方によって、利用者のほうで「いま意図しない挙動が起きた」と気がついたことでクラウド監査が完了するよりも前に利用者さんが「ウイルスが起動しようとした」と気がつくこともあります。(苦しい言い訳ではありません・・・たぶん・・)

ホワイトリスト方式

こうしたホワイトリスト方式は、情報システム管理者がラップ作業と再配布が不便であったことから不評でした。このため、PC Maticは従来型セキュリティソフトと変わらない利便性をもたらす「グローバル・ホワイトリスト方式」を10年前に新たに開発し提供しています。この方式は、従来のホワイトリスト方式が防御することができなかったファイルレススクリプトを用いたランサムウェアにも対応しています。この新方式により、システム管理者はラップ作業や再配布の手間から開放されます。社内で認定済みの善良アプリケーションのみ利用するという考え。躊躇するシステム担当者さんもたまにいますが、考えてもみてください、社内で新たに追加導入するアプリケーションは年間数本ではありませんか。また、善良・悪質の判断は世界中の顧客で共有されているため、あなたは特別な作業を行う必要は一切ないのです。

またEDRや遠隔運用管理システム(RMM)が統合され、リモートデスクトップやコマンドプロンプト、ISAM(ソフトウェア資産管理)なども利用可能です。価格的には法人向けEPPよりも高額になりますが、EDRやRMMが統合されているため大変安価になっています。そして現時点において、世界中の顧客にウイルス感染端末を40ヶ月連続で発生させていません。この事実に対し、いままで感染の被害に悩まされていたセキュリティ関係者は真実であることをなかなか受け入れることができていません。端末が感染することに慣れているのと、端末が感染してくれたほうが、別のネットワーク上でのセキュリティ装置を効率的に対応策として販売することができるからです。それは当然です、犯罪者に従来型セキュリティソフトのソースコードはリバースエンジニアリングで解析されてしまっているのですから。

関連コンテンツ:Emotetは特別に強固な訳ではない

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る