パロアルトネットワークスは2014年1月15日、次世代ファイアウォール向けの最新OS「PAN-OS 6.0」を発表した。

記者会見の冒頭、代表取締役社長の金城盛弘氏は、入力した文字列を無断でサーバーに送信していたことが判明したBaidu IMEの問題に言及。「『ポートベースでのコントロールは意味をなさない。アプリケーションを可視化してコントロールする必要がある』というのが創業以来変わらぬ私どものコンセプト。パロアルトネットワークスのユーザーであれば、誰がBaiduを使っているも分かるし、そういたアプリケーションの利用を止めることも可能だ」と語った。

Baidu IMEの事件は、アプリケーションの可視化／制御機能が特徴である次世代ファイアウォールの必要性をあらためて立証したというわけだ。

ただ、もちろんパロアルトネットワークスの製品の価値は、アプリケーションの可視化／制御だけではない。「新しい脅威に対応すべく、新しい機能をいろいろ載せていく。一時期、『次世代ファイアウォールカンパニー』という言葉を会社で標榜していたが、最近は『セキュリティプラットフォームを提供する会社』という言い方をしている」と金城氏。

そして現在、同社の提供する様々なセキュリティ機能の中で最も引き合いが多く、最新OSの強化ポイントの中でも最大の目玉となっているのが、サンドボックス機能の「WildFire」だ。

マルウェア本体をダウンロードさせるための“ドロッパー”もブロック

WildFireは、シグネチャでは防げない未知のマルウェアを検知するための機能である。未知のファイルをクラウド上に構築された仮想サンドボックス環境に送信。サンドボックス上で実行し、その実際のふるまいを分析することでマルウェアかどうかを判定する。そして、検出されたマルウェアのシグネチャを生成し、30分間隔で世界中のパロアルトユーザーに配信するというのが、WildFireの機能概要である。ゼロデイ攻撃や標的型攻撃に有効なソリューションとして以前から注目を集めてきた。

WildFireの動作イメージ

PAN-OS 6.0でのWildFireの強化点はまず、検査できるファイルの種類の増加だ。従来は、EXEおよびDLL形式の実行ファイルにしか対応しなかったが、新たにPDF、Office、Java、APKのファイル形式をサポートする。APKとは、Androidアプリケーションのファイル形式である。

PAN-OS 6.0で追加されたWildFireの新機能

PDFやOffice、Javaに対応した意義について、パロアルトネットワークス 技術本部長の乙部幸一朗氏は次のように説明した。「PDFやOffice、Javaは、マルウェア本体をダウンロードさせるための“ドロッパー”としてよく使われている。今回の機能強化により、入口となるマルウェアも見つけられるようになった」。標的型攻撃などに用いられるマルウェア本体だけではなく、そのマルウェアを侵入させるために使われるPDFなどにも対応することで、二重に防御できるようになる。

また、これまでサンドボックス環境としてWindows XPしか用意されなかったが、新たにWindows 7とAndroidも追加された。これにより、例えばWindows 7上でしかマルウェアとして動作しないマルウェアも検出できるようになった。また、サイバー犯罪者の攻撃対象がモバイルにシフトしていることを受けて、Androidもサポートした。