セキュリティ

2020年、「ウイルス対策ソフトを利用したサイバー攻撃」も。 対策方法は?

2020年、「ウイルス対策ソフトを利用したサイバー攻撃」も。
対策方法は?

サイバー攻撃が活発化している2020年。情報資産を守るためのものである「ウイルス対策ソフト」のほぼすべてに共通した脆弱性が発見され、物議を醸しています。この脆弱性は、ウイルス対策ソフトがOSを破壊してしまう、という衝撃的なものです。

何故このような事態が発生し、今後どのような防御策が望まれるのでしょうか。本記事では、その原因と対策法をご紹介します。

「ウイルス対策ソフトを利用したサイバー攻撃」とは?

2020年4月、米・サイバーセキュリティ会社RACK911 Labsによって、ウイルス対策ソフトの脆弱性が発表されました。これは、Windowsの「ディレクトリジャンクション」、あるいはmac OS/Linuxの「シンボリックリンク」にみられるディレクトリ・ファイル間を結びつける機能を悪用したものです

例えば、ウイルス対策ソフトが脅威を含むファイルを検知したとします。その際に脅威を検知したファイルの削除や隔離が行われるわけですが、その処理の間にはわずかなタイムラグが生じます。ここでサイバー攻撃者はローカルユーザーやマルウェアを通じて、この「タイムラグ」と「ウイルス対策ソフトが持つ特権」を利用し、前述の「ディレクトリジャンクション」や「シンボリックリンク」を悪用。この脆弱性を利用することでファイル同士の競合状態を作り出し、重要なファイルやディレクトリをウイルス対策ソフトに削除させるなどOSの破壊を行わせてしまうのです

ウイルス対策ソフトにOSを破壊可能

同社によると、ほぼすべてのウイルス対策ソフトでこの悪質な行為を再現できたといいます。2018年の秋頃からソフトウェアベンダー各社に通知を始めたため、現在はこの脆弱性は解消されつつあるようです。

しかし、ウイルス対策ソフトによる自己破壊と呼べるような脆弱性は、一度実行されてしまうと取り返しのつかない事態を招きます。加えて、サイバー攻撃者とセキュリティ対策はいたちごっこと言われているため、セキュリティに対する根本的なアプローチを変えない限り、同じような事態が起きないとも言い切れません。

では今後、各企業においてはどのような対策が求められるのでしょうか。

有効な対策は?防御構造を見直そう

今回発見された脆弱性を踏まえると、情報資産のセキュリティを確実なものにしたいならば、防御構造を根本的に見直すことも検討すべきでしょう。考えられるアプローチは、次の2つです。

防御構造に「不正動作の遮断」を加える

1つ目は、不正動作を検知し、その動作を遮断するための仕組みです。

今回のように、ウイルス対策ソフトが悪用されてしまった場合、OSの破壊を食い止めるためにはその誤不正動作自体をシャットアウトする必要があります。これはアンチウイルスの発想とは異なるため、たとえ対象がウイルスソフトではなくても、何らかの対応を行うことを意味します。

また、既に広く知られているように、アンチウイルス製品は「過去に発見された脅威データ」を元にマルウェア検知を行っているため、完全に未知のマルウェアを防ぐことはできません。近年はAIを活用することで既知のマルウェアとそれに類似するものを検知する技術(NGAV)も登場していますが、ここで対象としているものもあくまで「類似のマルウェア」という域を出ていません。つまり、過去に発見されたマルウェアの亜種を防ぐことができても、完全に未知のマルウェアを防ぐことは難しいのです

未知のマルウェアを検知できなければ、マルウェアが防御網を突破する、いわゆる”すりぬけ”も発生しかねません。だからこそ、マルウェアかそうでないかを見分けるのではなく、不正な動作を見せたプログラムに着目し、その動作を遮断することが大切といえます。

不正な動作をいかにして止めるか?

2つ目は、不正な動作を開始したプログラムをいかにして止めるか、という視点です。たとえ不審な挙動を見せるプログラムを検知しても、その行為を的確に止めることができなければ意味がありません。

そこで最適な仕組みが、OSプロテクトという機能を兼ね備えた「AppGuard」です。AppGuardは、動作開始したマルウェア等のプログラムを制止することのできる新発想の仕組みです。

この技術を活用すれば、自社の理想を形にしたセキュリティ体制を実現することが可能になります。

自社にとって理想の防御構造を考える

当然ながらセキュリティにかけられる予算には限りがあるため、運用コストと費用の最適なバランスを考え、実現可能な防御構造を組み立てる必要があります。そこで検討したいのが、既に多くの企業で実施されている「アンチウイルス+OSプロテクト」という組み合わせです。

ここでは、アンチウイルスソフトが第一の防御壁としての役割を担い、そこで”すりぬけ”が発生した場合の最後の砦として「AppGuard」を機能させます。OSプロテクトではシステムの正常な動作とデータを守ることができるため、万が一の場合にも業務を停止するような事態を回避することができるのです。

もちろん、システムの正常な動作とデータを守るのみならず、正確な状況や事故の報告が求められる場合には「EDR(Endpoint Detection and Response)」の活用が必要です。しかし、そこには多大な費用が求められることから、運用コストと費用のバランスを保つうえでは選びづらい方法といえます。

最も重要視すべきは、プログラムの不正な動作を遮断させ、重要システムの動作と情報資産を守り抜くこと。変化の激しい時代だからこそ、メリハリの利いた防御構造を組み立てることで、ポイントを押さえたセキュリティ対策を講じていきましょう。


マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。

カタログ 製品の詳細


関連記事

  1. セキュリティ

    どんな感染症状がある?マルウェアへの対処法や予防法をご紹介

    コンピュータウイルスを含め、攻撃者が悪意をもって侵入させるソフトウ…

  2. セキュリティ

    企業が陥る情報漏えいの原因とその防止方法とは

    情報管理において、常に細心の注意を払う必要があるのが情報漏えいです…

  3. セキュリティ

    Windowsで重大な2つの脆弱性が発覚。標的型攻撃を回避する方法とは?

    ユーザー数の多さゆえに、サイバー攻撃者との ”いたちごっこ” が続…

  4. セキュリティ

    ホワイトリスト式セキュリティの仕組みとは?ブラックリストとの違い

    サイバーセキュリティ対策の方法として、よく名前が挙がるホワイトリス…

  5. セキュリティ

    IoT普及の落とし穴、 セキュリティ問題から考える新たな企業課題

    工場や店舗を始めとして、活用シーンが広がり続けるIoT。センシング…

  6. セキュリティ

    振る舞い検知によるセキュリティ対策の現状

    世界中でサイバー攻撃が激化している近年、社内のセキュリティを見直す…

注目記事

カテゴリー検索

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。
Scroll Up