企業にとって今、最大の脅威の1つとなっている標的型攻撃――。その対策ソリューションとしては、サンドボックスがよく知られているが、新しいアプローチによる標的型攻撃対策ソリューションがイスラエルから上陸した。アズジェントが2015年2月1日から販売開始するVOTIRO(ボティーロ)社の「Secure Data Sanitization(SDS)」である。ちなみに、VOTIRO社の共同創業者2人は元イスラエル国防軍の諜報部で、現在の社員数は15名だという。
サンドボックスは未知のマルウェアを仮想環境上で実行し、そのふるまいを実際に確認することで、マルウェアかどうかを判定するソリューションだ。これに対し、VOTIRO社のSDSは、すべてのファイルをサニタイズ(無害化)することで、未知のマルウェア対策を実現する。アズジェント 営業本部 事業企画部長の山口智之氏は、これを「消毒」と表現する。
アズジェントによると、エクスプロイト(脆弱性を利用した攻撃をするためのスクリプトやファイル)は一般的にファイルのメタデータや空きビットスペース、マクロの中に含まれているという。そこでSDSでは、これらのデータをチェックし、ファイルに不要なデータを削除ないしは意味のない情報に書き換えることで、攻撃用の実行ファイルを無害化する。これがSDSの行う消毒作業だ。
| SDSのサニタイズ(無害化)の仕組み |
 |
具体的な流れを説明すると、SDSではまずシグネチャベースで既知のマルウェアを検知し、ブロックする。ここをすり抜けたファイルの中に、未知のマルウェアが紛れている可能性があるわけだが、これらファイルすべてを対象に消毒作業を行うという順番だ。なお、EXEファイルとHWPファイル(韓国のワープロソフトのファイル形式)には対応していない。
 |
| SDSがファイルを消毒する流れ |
消毒作業とは、つまりファイルの書き換えである。しかも、対象はすべてのファイルだ。このため「ファイルの消毒時に何かトラブルが起きるのでは?」という懸念を抱く人もいるだろうが、VOTIRO社 VP SalesのArik Assayag氏は次のように説明している。
「ファイルには何ら影響を与えないかたちで、エクスプロイトを無効化できる。製品が発売されて5年が経つが、これまでに100億件のファイルを処理してきた。しかし、ファイルを壊してしまったのはたった5件。極めて稀といえると思う」
