標的型メールやランサムウェアに強い理由を教えてください / PC Matic FAQ

PC Matic SuperShieldが標的型攻撃やランサムウェアに強い理由を教えてください

ホワイトリスト方式で事前監査済の善良なアプリケーションのみ起動許可するためです。

標的型攻撃の仕組み

諜報機関

標的型攻撃の多くは、犯罪組織(マフィア)・国家諜報機関によって攻撃対象に向けて専用に作成されます。多くの場合、既存セキュリティソフトにおいて未知のウイルスとなる高度に作成された新種になります。組織は豊富な資金力と人手を持つため、市販のセキュリティソフト、電子メール用セキュリティソリューションを購入して出荷前検査を行っているためです。このため、ブラックリスト方式やヒューリスティック分析(ふるまい検知)を用いた最新のセキュリティソリューションは役に立たなくなってしまうのです。
標的型メールでは、Microsoft Officeスクリプト、Windows Script Hostを用いた添付ファイルを通じて感染します。ブラウザ経由では、PDFリーダ、FLASH、Javaなどの脆弱性を用いて感染します。感染後、バックドアを仕掛けたり、遠隔操作をするためのアプリケーションを外部から転送します。

バックドア

次に、遠隔操作が可能となった状態を把握し、ネットワーク内にあるパソコンやサーバを探索し、スキャナと呼ばれるソフトで存在を検知した機器の脆弱性(侵入方法)を調べ侵入ルートを確保します。端末名称などから顧客情報や先端技術の資料など価値のある情報が保管されている端末にあたりをつけます。脆弱性によってはそのまま様々な実行が可能ですが、場合によりブルートフォース攻撃等によってパスワードをクラックします。こうして次々とターゲットのパソコンやサーバへ侵入します。
盗む情報を圧縮し、まずは過去乗っ取った外部のサーバへ転送し一時保管します。これにより実行者の特定を困難とさせます。転送後は、侵入した組織にある通信機器や侵入したサーバのログを削除し、侵入の痕跡をなくします。一時的に保管しているサーバへTORを利用して取得します。一時保管サーバの所在国は、工作員の所属する国ごとに傾向がみられます。

ランサムウェアの仕組み

ランサムウェア

ランサムウェアは、身代金型ウイルスとも呼ばれ、パソコン内および常時接続しているファイルサーバ内の主要なファイルを暗号化し、ビットコインによる身代金支払いを要求する警告表示を画面上にポップアップ表示します。
侵入経路は、標的型攻撃と同じです。ランサムウェアは、「ランサムウェア ルートキット」と呼ばれる暗号化プログラムをビットコイン等で制作者から購入することに始まります。犯罪組織および悪意をもった一人の個人によってキーワード変更や亜種が生成され、メールや水飲み場攻撃によって不特定多数を標的に広く配布されるのが特徴です。ビットコインの誕生によって秘匿性をもってマネタイズが可能となったため、現時点では世界で発見されている新種のウイルスとされているもののうち、このランサムウェアに分類されるものが、従来型のウイルスよりも飛躍的に数が増加しています。ランサムウェアには、大別して2種類があります。
(1)スクリプトが暗号化するアプリケーションをダウンロードし、実行するタイプ
(2)スクリプトがWindows標準搭載のアプリケーションを利用して暗号化するタイプ

SuperShieldの仕組み

PC Matic SuperShield はホワイトリスト方式を採用しています。パソコン内にある実行可能な全てのファイルは、クラウドサーバに転送されます。転送されたファイルは、クラスター化されたコンピュータ上でAI技術を用いて多面的にビッグデータ分析にかけられます。監査され、善良な挙動をするアプリケーションと判断されたものみ起動を許可します。軍事基地に「正規の身分証明書」をもっている関係者のみが立ち入ることができる仕組みと似ています。またフェイルセーフの考え方をセキュリティに採用しています。

(1)脆弱性を極小化
PC Matic SuperShield は、著名なアプリケーションの脆弱性を防ぐため、最新版に自動更新する機能により、脆弱性を防ぐ機能をもっています。もちろんゼロデイ攻撃には弱いものです。(これは一般的なIPSも同じ)

(2)添付されたファイルの実行を阻止
ホワイトリスト方式により、未知のアプリケーションの実行を許可しないため、添付されたスクリプトやプログラムの実行を阻止します。

(3)添付ファイルが実行されても悪質なツールの実行を阻止
万が一、添付されたスクリプトが問題ないかヒューリスティック分析によって監査した上で実行を許可します。また万が一スクリプトが実行されても、暗号化アプリケーションは、事前監査にてウイルスと指定されているため暗号化が実施されません。スクリプトによるWindows内部アプリケーション利用も監視し、ファイル暗号化などを阻止しています。

また、SuperShieldはPC上で動作する空港保安検査レベルのヒューリスティックエンジンも実装しており、過去に発見されたメジャーなウイルスの亜種もクラウドに転送することなく即座に判別し駆除可能です。

PC Matic SuperShield を利用することで、前述の3つの隔壁により電子メールがどこから送信されてきたか、偽装されていないかなどを考えることなく、日常的なパソコン利用を行うことができます。これにより、業務効率を低下させることなく、パソコンをご利用頂けます。
情報流出が起きてしまえば、「取引先からの業務メールを装っていた」などと答弁しても言い訳に過ぎず、企業の信用は回復しません。

2016年10月にAV Comparativesが実施した世界初のランサムウェア評価試験結果 (1,000個のランサムウェアと4,000個のウイルス)。PC PitstopがPC Maticです。両試験ともに100.0%防御と報告されました。
国旗は、セキュリティエンジンの主要開発国です。

主要国首脳会議がG8からG7へといま参加国が減っています。減るきっかけとなったタイミングで「新たな冷戦時代が始まった」と言われていますが、戦車や戦闘機を用いた戦いは開始されていませんが、いま第四の戦場と呼ばれているサイバー空間では、世界戦争は開始されています。度々、各国首脳会談によりこのサイバー戦争について語られていますが、解決には至っていません。先進国では空軍、陸軍、海軍に加えてサイバー軍を数万人規模で編成しています。そして残念なことに既に開戦状態にあります。先進国だけでなく北朝鮮もサイバー軍を編成し、敵国混乱や外貨確保のために力を入れていることは国際的に広く知られています。そしてどの国も陣地に侵入することではないため宣戦布告は必要ないと考えているようです。
サイバー軍の攻撃目標は、
●相手国の情報通信ネットワークに攻撃を行い、経済活動を混乱させる(DDoS攻撃)
●相手国の軍需企業の情報を取得し、自国の軍事技術へ転用させる
●相手国の経済的な中心である大手民間企業の情報を取得し、相手国を経済的に混乱させる
●相手国のインフラ企業を乗っ取り、サービスを停止させ社会を混乱させる
などです。サイバー犯罪の多くは市民生活に影響を及ぼすものです。

アメリカ製
戻る