FBI/CISAは共同で、2023年10月11日に、新種である「AvosLocker Ransomware」への情報アップデートとして、新たに強い口調でアプリケーション・ホワイトリスティング方式を採用するよう改めて実装の推奨を行いました。
「Secure remote access tools(安全なリモートアクセスツール)」の項目にて、
リモートアクセス・ホワイトリストを含む、ソフトウェアの実行を管理・制御するためのアプリケーション制御を導入すること。アプリケーション制御は、未承認のリモートアクセスやその他のソフトウェアのポータブル版のインストールや実行を防止する必要があります。適切に設定されたアプリケーション・ホワイトリスティング製品は、ホワイトリストにないアプリケーションの実行をブロックします。一般的なウイルス対策ソリューションは、ファイルが圧縮、暗号化、または難読化のいずれかの組み合わせを使用している場合、悪意のあるポータブル実行可能ファイルの実行を検出できない可能性があるため、ホワイトリストの作成は重要です。
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-284a
このようにPC Matic 法人版が採用するアプリケーション・ホワイトリスティング方式および、同製品が採用するWindows RDP制御セキュリティ強化について推奨を行いました。
前回の推奨:CISA:ランサムウェア対策にアプリケーション・ホワイトリスティング方式を推奨
勧告内容として、「一般的なウイルス対策ソリューションは、ファイルが圧縮、暗号化、または難読化のいずれかの組み合わせを使用している場合、悪意のあるポータブル実行可能ファイルの実行を検出できない可能性がある」と言及した点について、実態に即したものと言えます。
PC Matic,Inc.は、FBI(連邦捜査局)、CISA(サイバーセキュリティ・社会基盤安全保障庁)を始め、DoD(国防総省)、DHS(国土安全保障省)そして、NIST(国立標準技術研究所)と協力し、国家安全保障の観点からアメリカ出生のアメリカ国民の手によってのみ研究開発を行い、政府機関や社会基盤企業へ提供を行っています。
PC Matic 法人版は、コードスキャニングなどの静的分析および、数多くのサンドボックスによる動的分析を実施し、全件人手による最終確認を経て善良と判定されたアプリケーションやスクリプトが現在1億3千万件登録されており、これをグローバル・ホワイトリストとして提供しています。このグローバル・ホワイトリストに登録されているアプリケーションやスクリプトはローカル・ホワイトリストへ登録することなしに起動でき、一般的なウイルス対策ソリューションと遜色ない使い勝手を実現しています。
執筆:坂本光正