UTMベンダーのウォッチガード・テクノロジー・ジャパンは2014年4月24日、標的型攻撃で用いられるゼロデイマルウェアを検知するための機能「WatchGuard APT Blocker」を発表した。

APT Blockerの主な特徴

未知のマルウェアを検出するためのソリューションとしては、隔離された仮想環境上で疑わしいファイルを実行し、その実際の挙動からマルウェアかどうか解析する「サンドボックス」が知られている。今回ウォッチガードが発表したAPT Blockerもサンドボックスに分類されるソリューションだが、同社では「次世代型サンドボックス技術」と標榜している。

次世代型を名乗る理由は、従来型のサンドボックスでは検知できない「回避型マルウェアを検知して特定できる」（同社システムエンジニア部 プリセールスエンジニアの正岡剛氏）からだという。

サイバーセキュリティをめぐる攻防は、よく言われるように、いたちごっこだ。サンドボックスの登場を受けて、ゼロデイマルウェアも進化している。仮想環境で実行されているかどうかをマルウェア自身が検知。その場合はマルウェアとしての活動を一時停止し、サンドボックスによる検知を回避するタイプが登場しているのだという。

回避行動の種類としては、まず「スリープ」がある。仮想環境で実行されていることが分かると、活動全体を一定期間ストップし、サンドボックスによる検査時間をやり過ごそうというものだ。

さらに厄介なのは、「ループ」だという。仮想環境で実行されていることが分かると、CPUリソースを消費する何らかの無用な計算を繰り返し“無害”を装う。しかも、従来型のサンドボックスからは不可視である、CPUに対しての命令コードレベルでループは実行されるため、回避行動であることを見破るのは難しいという。スリープの場合、活動そのものが停止するので「怪しい」と判断できるが、ループでは一応動作はしているから、そうもいかない。

ウォッチガードによれば、従来型サンドボックスには可視化できない振る舞いがあり、回避型マルウェアをこれを利用しているという

一方、APT Blockerの場合、CPUやメモリなどの物理ハードウェアもシミュレートする「フルシステムエミュレーション」が特徴。「VMwareなどの汎用の仮想環境は使用せずに、独自の仮想プラットフォームを開発して提供している」（マーケティングマネージャの堀江徹氏）。このため、「CPUに対しての命令コードレベルまで掘り下げて解析・分析することが可能。だから、マルウェアが何をしようとしているのか、丸裸にできる」（正岡氏）ことから、回避型マルウェアも検知できるという。

APT Blockerで検知できるマルウェアのタイプは、Windowsのすべての実行形式ファイル、マイクロソフトOfficeファイル、PDF、Androidアプリ（Android APK）。疑わしいファイルの振る舞い検査は、クラウド上で行われるため、UTMアプライアンスには負荷をかけない。また、APT Blockerで検知されたマルウェア情報は、APT Blockerユーザー間で共有される。

米Lastline社の技術を採用するAPT Blocker

なお、ウォッチガードは、自前ですべてのセキュリティ機能を開発するのではなく、トレンドマイクロやソフォスなど、様々なベンダーの技術を採用する「ベスト・オブ・ブリード戦略」を特色の1つとするが、APT Blockerも外部の技術を取り入れたものだ。2011年に設立されたベンチャー企業、米Lastline社のサンドボックス技術を採用している。