セキュリティ

/

 

2020年、「ウイルス・マルウェア対策ソフトを利用したサイバー攻撃」も。
対策方法は?

2020年、「ウイルス・マルウェア対策ソフトを利用したサイバー攻撃」も。
対策方法は?

マルウェアによる攻撃など、サイバー攻撃が活発化している2020年。情報資産を守るためのものである「ウイルス・マルウェア対策ソフト」のほぼすべてに共通した脆弱性が発見され、物議を醸しています。この脆弱性は、ウイルス・マルウェア対策ソフトがOSを破壊してしまう、という衝撃的なものです。何故このような事態が発生し、今後どのような防御策が望まれるのでしょうか。本記事では、その原因と対策法をご紹介します。

「ウイルス・マルウェア対策ソフトを利用したサイバー攻撃」とは?

2020年4月、米・サイバーセキュリティ会社RACK911 Labsによって、ウイルス・マルウェア対策ソフトの脆弱性が発表されました。これは、Windowsの「ディレクトリジャンクション」、あるいはmac OS/Linuxの「シンボリックリンク」にみられるディレクトリ・ファイル間を結びつける機能を悪用したものです。

例えば、ウイルス・マルウェア対策ソフトが脅威を含むファイルを検知したとします。その際に脅威を検知したファイルの削除や隔離が行われるわけですが、その処理の間にはわずかなタイムラグが生じます。ここでサイバー攻撃者はローカルユーザーやマルウェアを通じて、この「タイムラグ」と「ウイルス・マルウェア対策ソフトが持つ特権」を利用し、前述の「ディレクトリジャンクション」や「シンボリックリンク」を悪用。この脆弱性を利用することでファイル同士の競合状態を作り出し、重要なファイルやディレクトリをウイルス・マルウェア対策ソフトに削除させるなどOSの破壊を行わせてしまうのです。

ウイルス対策ソフトにOSを破壊可能

同社によると、ほぼすべてのウイルス・マルウェア対策ソフトでこの悪質な行為を再現できたといいます。2018年の秋頃からソフトウェアベンダー各社に通知を始めたため、現在はこの脆弱性は解消されつつあるようです。

しかし、ウイルス・マルウェア対策ソフトによる自己破壊と呼べるような脆弱性は、一度実行されてしまうと取り返しのつかない事態を招きます。加えて、サイバー攻撃者やマルウェアといった脅威とセキュリティ対策はいたちごっこと言われているため、セキュリティに対する根本的な対策アプローチを変えない限り、同じような事態が起きないとも言い切れません。

では今後、各企業においてはどのような対策が求められるのでしょうか。

ウイルス・マルウェア対策ソフトの脆弱性に有効な対策は?防御構造を見直そう

今回発見された脆弱性を踏まえると、情報資産のセキュリティ対策を確実なものにしたいならば、防御構造を根本的に見直すことも検討すべきでしょう。考えられるアプローチは、次の2つです。

対策ソフト以外の防御方法:「不正動作の遮断」を加える

ウイルス・マルウェア対策ソフトの脆弱性対策1つ目は、不正動作を検知し、その動作を遮断するための仕組みです。

今回のように、ウイルス・マルウェア対策ソフトが悪用されてしまった場合、OSの破壊を食い止めるためにはその誤不正動作自体をシャットアウトするといった対策をする必要があります。これはアンチウイルスの発想とは異なるため、たとえ対象がウイルス・マルウェア対策ソフトではなくても、何らかの対応を行うことを意味します。

また、既に広く知られているように、ウイルス・マルウェア対策などのアンチウイルス製品は「過去に発見された脅威データ」を元にマルウェア検知を行っているため、完全に未知のマルウェアを防ぐことはできません。近年はAIを活用することで既知のマルウェアとそれに類似するものを検知する技術(NGAV)も登場していますが、ここで対象としているものもあくまで「類似のマルウェア」という域を出ていません。つまり、過去に発見されたマルウェアの亜種を防ぐことができても、完全に未知のマルウェアを防ぐことは難しいのです。

未知のマルウェアを検知できなければ、マルウェアが防御網を突破する、いわゆる”すりぬけ”も発生しかねません。だからこそ、マルウェアかそうでないかを見分けるのではなく、不正な動作を見せたプログラムに着目し、その動作を遮断する対策を講じることが大切といえます。

対策ソフトでは防げない・・・不正な動作をいかにして止めるか?

ウイルス・マルウェア対策ソフトの脆弱性対策2つ目は、マルウェアやプログラムによって不正な動作を開始したプログラムをいかにして止めるか、という視点です。たとえ不審な挙動を見せるプログラムを検知しても、その行為を的確に止めることができなければ意味がありません。

そこで最適な仕組みが、OSプロテクトという機能を兼ね備えた「AppGuard」です。AppGuardは、動作開始したマルウェア等のプログラムを制止することのできる新発想の仕組みです。

この技術を活用すれば、自社の理想を形にしたセキュリティ体制を実現することが可能になります。

自社にとって理想の防御構造を考える

当然ながらセキュリティにかけられる予算には限りがあるため、運用コストと費用の最適なバランスを考え、実現可能な防御構造を組み立てる必要があります。そこで検討したいのが、既に多くの企業で実施されている「アンチウイルスソフト+OSプロテクト」という組み合わせです。

ここでは、アンチウイルスソフトが第一の防御壁としての役割を担い、そこで”すりぬけ”が発生した場合の最後の砦として「AppGuard」を機能させます。OSプロテクトではシステムの正常な動作とデータを守ることができるため、万が一の場合にも業務を停止するような事態を回避することができるのです。

「AppGuard」なら、上記のようなウイルス・マルウェア対策ソフトの脆弱性を狙った攻撃にも、「正常な動作とデータを守る」ことで、マルウェアの攻撃を作動させない形で対策することができます。

もちろん、システムの正常な動作とデータを守るのみならず、正確な状況や事故の報告が求められる場合には「EDR(Endpoint Detection and Response)」の活用が必要です。しかし、そこには多大な費用が求められることから、運用コストと費用のバランスを保つうえでは選びづらい方法といえます。

最も重要視すべきは、プログラムの不正な動作を遮断させ、重要システムの動作と情報資産を守り抜くこと。変化の激しい時代だからこそ、メリハリの利いた防御構造を組み立てることで、ポイントを押さえたセキュリティ対策を講じていきましょう。


マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。

カタログ 製品の詳細


中須 寛人
この記事を監修した人
16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
大興電子通信に入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。
大興電子通信株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課
中須 寛人

関連記事

  1. セキュリティ

    情報セキュリティ担当者は押さえておきたい! 最新の「情報セキュリティ10大脅威 2021」(前編)

    データへのアクセスを不能にして身代金を要求するマルウェアや、大企業…

  2. セキュリティ

    不正アクセスのよくある被害事例3選!トレンド・対策をご紹介

    サーバや情報システムへ不正にアクセスし、さまざまな被害が増加傾向に…

  3. セキュリティ

    注目される「ゼロトラスト」とは?コロナ禍の今見直したい在宅勤務のセキュリティ環境

    新型コロナウイルス流行の影響で多くの企業が取り組んでいる在宅勤務で…

  4. セキュリティ

    IT-BCP(情報システム運用継続計画)とは?情報システムの停止を防ぐセキュリティの重要性

    変化の時代、企業は災害やサイバー攻撃など、事業停止にまつわる様々な…

  5. セキュリティ

    Windowsで重大な2つの脆弱性が発覚。標的型攻撃を回避する方法とは?

    ユーザー数の多さゆえに、サイバー攻撃者との ”いたちごっこ” が続…

  6. セキュリティ

    ゼロデイ攻撃とは?サイバー攻撃の特徴と対策方法

    従来型のサイバー攻撃と比べて対策が取りづらく、重大な被害をもたらし…

人気記事ランキング

注目記事

業界別・部門から探す

業務から探す

トピックから探す

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。
APPGURD

APP GUARD