徹底的にマルウェアを洗い出す、マルチスキャンとは?

この記事の内容

1年間に1億3000万も新しく作られているマルウェア。「無害化製品はレベルが様々、簡易なものから高度なものまで」でも紹介した通り、日本市場を対象としたスパムキャンペーンでは、画像ファイルにマルウェアが潜んでいた例もありました。

マルウェアに対抗する策として、グローバルで数多くのアンチマルウェアエンジンが開発されています。複数のアンチマルウェアエンジンを組み合わせ、マルウェアの高い検知率を実現するマルチスキャン技術。そのメリットや導入時に考慮すべき点などを、OPSWAT JAPAN株式会社 シニアマーケティングマネージャ関谷宏さんにお伺いしました。

日々増大するマルウェアの脅威とは

――マルウェアの最近の事情はどうでしょうか? 特徴などあれば教えてください。

関谷:標的型攻撃の手口が、年々巧妙化、多様化しています。サイバー情報共有イニシアティブ(J-CSIP)によると、2019年にJ-CSIP参加組織あてに届いたメールのうち、標的型攻撃メールとみなした情報は282件で、2018年の267件と比較して増加しています。2019年に確認したウイルスの中には、ウイルス自身の存在や攻撃活動を隠し、ウイルスの解析を避けるさまざまな仕掛けが確認されました。例えば、『アイコンや拡張子の偽装』といった簡単なものから、『特定のセキュリティソフトの停止』『特定の時間帯のみ動作を行う』『不正接続先から特定の応答が得られないと動作を止める』といった高度なものまであります。

「マルチスキャン」という対抗策

――そんな中注目を集めているマルチスキャンですが、どのような技術なのか教えてください。

関谷:マルチスキャンは、世界中で実績のあるアンチマルウェアエンジンを最大で34種類(2020年6月時点)統合し、対象ファイルをスキャンすることで、さまざまな脅威から組織を保護する技術です。各エンジンのシグニチャ(定義ファイル)、ヒューリスティックスキャン(コードから判別する技術)、AI技術によって既知・未知のマルウェアを検知し、脅威の侵入経路となるメールやネットワーク通信、持ち込みメディア、クラウド、ウェブなどのセキュリティを強化します。
複数のアンチマルウェアエンジンを組み合わせることで、各エンジンの技術的アプローチ、地理的多様性、センサーノードなどの強みを活用することで、検知率が大幅に向上します。
新しい脅威の発生時には、その脅威を検知できるまでの時間が非常に重要です。エンジンによっては、新たな脅威への対応にかかる時間は、数日、数週間から数ヶ月にも及ぶ可能性がありますが、マルチスキャンエンジンを利用すれば、アウトブレイク時の対応時間の短縮に効果があります。また、特定のアンチマルウェアエンジンを回避する脅威や、ベンダー固有の制限・問題などによって引き起こされるリスクも回避できます。

――どのような団体・企業がマルチスキャンを利用されていますか?

関谷:日々高度化、巧妙化するサイバー攻撃を防ぐために、現行のセキュリティシステムのさらなる強化を望まれる重要インフラをはじめとする多くのお客様にご導入いただいています。
例えば、1000万以上のユーザーを持つクラウドソーシング企業では、1日に何百万ものファイルがサーバー上でやり取りされるため、ゼロデイ攻撃が懸念され、対策を検討していました。サービスを利用する数多くのユーザーへより安全なプラットフォームを提供するために、さまざまなセキュリティ製品やソリューションを評価した結果、最終的にマルチスキャンとファイル無害化を導入することで、安全な環境が実現できました。
また、航空宇宙製品を製造する企業では、関連企業から納入される数多くのソフトウェアコンポーネントを検査するために、従来は、複数のアンチマルウェアエンジンを各々異なる仮想環境へインストールし、納入されたファイルを仮想環境上のすべてのエンジンで個々に検査していました。しかし、この方法では、コストと時間がかかってしまいます。そこで、マルチスキャン技術を導入することで、従来保持していた各アンチマルウェアエンジン用の仮想環境が不要になり、コストと時間の削減、検知率の向上が実現されました。
既に様々なセキュリティ対策をしている事業でも、ファイルやメールの送受信、持ち込みメディア等のセキュリティをより強化するためのマルチスキャンと、ゼロデイ攻撃への対応としてファイルの無害化を導入し、既知・未知の脅威から組織を防御しています。

マルチスキャンを使えばこんな課題が解決できる

課題の種類解決できること
マルウェア感染によるさまざまな被害
・標的型攻撃による機密情報の搾取
・サプライチェーンの弱点を悪用した攻撃
・ランサムウェアによる被害 等
マルウェア検知率の向上により、マルウェアに起因するさまざまな被害の低減
アウトブレイクの発生
※対応の遅れによる被害の拡大
各アンチマルウェアエンジンの対応力の統合による、アウトブレイクにさらされる時間の短縮
ベンダーに起因する問題
※製品そのものに悪用されうる脆弱性が含まれている場合等
ベンダー固有の制限・問題などによって引き起こされるリスクの回避

マルチスキャンを導入する際に考慮すべき点は?

――マルチスキャンを導入するにあたって、考慮すべき点や知っておいた方が良いことはありますか?

関谷:マルチスキャンエンジンの導入は、複数のアンチマルウェアエンジンを組み合わせた基本パッケージと、オプションとして追加できるカスタムエンジンがあります。Windowsプラットフォーム用には基本パッケージのエンジンの組み合わせ数は、8, 12, 16, 20 の各パッケージがあり、14種類のカスタムエンジンとの組み合わせで導入できます(2020年7月現在) 。Linux 用には別構成のパッケージがあります。
アンチマルウェアエンジンの数を増やせば検知率は高くなりますが、一方で、パフォーマンスや必要なシステム要件も変わります。また、対象となるファイルの種類(ドキュメント、画像、実行ファイル、アーカイブファイル等)、ファイルサイズ等によっても処理速度が変わります。当社では、各パッケージでドキュメント、アーカイブ、画像などのファイル形式のパフォーマンスデータを参考値として公開しています。導入される際には、処理対象となるファイル総数なども含めた動作環境を考慮し、検証していただければと思います。

自治体、金融、製造、教育、医療、エネルギー、サービス業など大小問わずあらゆる事業がファイルを取り扱っています。本人確認書類、各種届出書、請求書、画像ファイル、履歴書、設計図、学習レポート等、事業で利用する様々なファイルを、世界の重要インフラで導入実績のあるマルチスキャンエンジンとファイル無害化で徹底的に検査できれば、安心してファイルを使うことができるでしょう。

OPSWAT社には、無害化についても語っていただきました。こちらもぜひご覧ください。
無害化製品はレベルが様々、簡易なものから高度なものまで-無害化ソリューションを決定するのに必要な検討事項―

取材・執筆:栃尾江美

「FileZen S」のご案内

FileZen S は、ネットワーク分離環境で「自分から自分」へのファイル受け渡しをシンプルかつ安全に行うことができる新しいコンセプトの製品です。
ファイル無害化製品 Votiro およびOPSWAT と自動連携し、ファイルの潜在的な脅威を排除します。

「FileZen S」の紹介ページはこちらから