株式会社アイシーアイ

YARAI

標的型攻撃対策ソフトウェア YARAI

標的型のサイバー攻撃の被害が急増しています。
直近では、日本年金機構から100万件以上もの個人情報が盗まれた事件があります。
また、現在ニュースになっているもの、なっていないものも含めて、
ネットバンキングを狙った攻撃も急増しており、不正送金による甚大な被害が発生しています。

2015年10月にはマイナンバー制度が導入されますが、いかに個人情報を守りながら
利便性を高めるかが焦点となっています。

YARAIは、インターネット上の様々な脅威からシステムを守るエンドポイント型のソフトウェアです。

ウイルス、ワーム、トロイの木馬などのマルウェアや、DDOS攻撃、ゼロディ攻撃などから
クライアント端末とそこからつながる社内システムを守ります。

アンチウイルスソフトと似ていますが、パターンファイルやシグネチャファイルに
依存したアンチウイルスソフトでは、既知の攻撃は防ぐことができても、
未知の攻撃は防御できません。
またIDS/IPSが導入されていても未知のマルウェアや未知の脆弱性には対応できません。
しかし、このYARAIは怪しい動作や振る舞いを検知することによって
未知の攻撃からもシステムを防御することが可能です。

日本年金機構の事件のように、送りつけられたメールや添付ファイルを開いてしまい、
万一ウイルスに感染したとしても、そのウイルスが悪意ある攻撃を開始した時点で
YARAIはその動きを検知し防御します。

YARAIは怪しい動作や振る舞いを独自のZDPエンジン(特許取得済み)で
検知することによって未知の攻撃から防御します。

そしてYARAIは国産企業が開発したエンジンですので迅速かつタイムリーなサポートが可能です。

既存のアンチウイルスソフトの機能も全て兼ね備えていますので入れ替えが可能です。
また、既存アンチウイルスソフトと共存させ、既知攻撃は既存のもので防御し、
未知の攻撃はYARAIで防御するといった運用も可能です。

標的型攻撃とは

    • 特定の目標(標的)に対し、

– 経済的利益あるいは安全保障に影響を与えるなどの意図を持って、
– 情報を搾取する活動、あるいは情報詐取のための偵察活動。

    • 一般的には、

– ソーシャルエンジニアリングや脆弱性攻撃などのテクニックを組み合わせ、
– 標的に対してマルウェアを送信し、
– リモート制御しながら情報詐取や偵察を行う。

DDoSや大量の個人情報搾取、Web改ざん、Bot、不特定多数への未知マルウェア攻撃などが近年相次ぐが、標的型攻撃はその背景が明確に異なる。

標的型攻撃は、単純なウイルス攻撃ではなく、特定の標的を狙ったハッキング行為。 標的型攻撃に対抗するためには、標的型攻撃に特化した戦略を進める必要がある。
FFR yaraiカタログ-2

一般的な標的型攻撃のプロセス

image_y01

標的型攻撃における各プロセスの特徴

プロセス データ形式ファイル
1 標的型攻撃メール作成・送付 データファイル(PDF、Office文書など)に

よる脆弱性攻撃

高度なソーシャルエンジニアリングによるメール文面

攻撃ツールを利用することにより、簡単に未知マルウェアを作成可能

2 添付ファイルを開く 本体マルウェア(バックドア)生成/実行
3 C&Cサーバに接続 C&Cサーバは攻撃毎に変化する事が多く、接続先をシグネチャで検知する事は困難
4 バックドアコマンド発行 バックドア通信は暗号化される

HTTP通信に紛れる事が多く、正常通信との区別がつきにくい

5 バックドア命令受信
6 調査・偵察・情報搾取活動 攻撃者の指令を受信し、調査・偵察・情報搾取を行う

長期間潜伏する事も

7 機密情報窃取

メール、添付ファイル、本体マルウェアとも、

パターンファイルに依存したアンチウイルス技術では検知困難

エンドポイントでの対抗ポイント

image_y02

 

対策案と FFR yarai での解決策

 

対策 特徴 yaraiでの解決策
1 パッチ適用、パッチマネジメントソリューション 既知脆弱性を悪用する標的型攻撃は防御可。

サードパーティアプリも適用する必要がある。

ショートスパンでのパッチ適用は高運用コスト。

脆弱性マネジメントは必要だが、ショートスパンでの適用は多くの場合困難。

2 未知・既知の脆弱性攻撃

発動防止ソリューション

DEP/ASLRなどの脆弱性攻撃緩和技術があるが、標的型攻撃の多くがそれらをバイパス。 ZDPエンジン
3 標的型攻撃対抗の

ホスト型IPS (HIPS)

ブラウザへのコードインジェクションなど、プロセスの怪しい動きを止める。 HIPSエンジン  機械学習エンジン
4 パターンファイルに依存しない

マルウェア検知ソリューション

何かしらの形でパターンファイルやシグネチャに依存する技術は効果が薄い。 Static分析エンジン

Sandboxエンジン

5 Proxyサーバ

(認証付がベター)

標的型攻撃含むバックドア系マルウェアの通信はProxyサーバを超えられないものも存在。

認証付Proxyサーバであれば、マルウェアの

悪性通信が超えられないケースが増加。

標的型攻撃はエンドポイントから侵入するケースが多い。

エンドポイントはプロセス情報やメモリ情報など多くの情報を対策に利用できる。

標的型攻撃は従来型セキュリティ対策だけでは守り切れない

image_y03
特定の組織団体に対して個別に作成される標的型攻撃マルウェアの場合、
攻撃の事実が表面化しにくく、アンチウイルスベンダーの対応も遅れがち
標的型攻撃対策は後追い型のパターンマッチングに依存しない先読み技術が有効

FFR yarai の製品コンセプト

FFR yarai は、
パターンファイルに依存せず、マルウェアや脆弱性攻撃を防御し、
既知・未知の脅威から大切な情報資産を守ります。

標的型攻撃に特化した
プログレッシブ・ヒューリスティック技術で
未知の脅威に対抗する
日本発の次世代セキュリティ

プログレッシブ・ヒューリスティック技術とは
・従来型のパターンマッチングに一切依存しない
・攻撃の進化を先読みして進化し続ける先読み技術

FFR yarai の防御範囲

FFR yarai は、従来型のアンチウイルスソフトとは異なります。
image_y04

FFR yarai 製品ラインナップ

 プログレッシブ・ヒューリスティック技術による
 5つの振る舞い防御エンジンにより、
 パターンファイル不要のセキュリティ対策機能をご提供
 ※ 英語版も提供中

 0-DAY保護エンジンにより、既存のウイルス対策ソフトに
 足りない脆弱性攻撃に対する防御機能をご提供
 

FFR yarai シリーズの実績

弊社調べ
2013年度は
出荷金額において
164%の伸び

第三者機関調べ
標的型攻撃対策分野に
おいて出荷金額・本数
共にNo.1

image_y07

FFR yarai の5つの振る舞い防御エンジン

image_y08

ZDPエンジン メールやWebページ閲覧時の攻撃など、既知・未知の脆弱性を狙ったウイルス攻撃を防御。
独自の「API-NX」技術(特許第4572259号)で、任意コード実行型脆弱性の攻撃を防御。
Static分析エンジン プログラムを動作させることなく分析。「PE構造分析」「リンカー分析」「パッカー分析」「想定オペレーション分析」など
多数の分析手法「N-Static分析」で検知。
Sandboxエンジン 仮想CPU、仮想メモリ、仮想Windowsサブシステムなどで構成される仮想環境上でプログラムを実行。
独自の「U-Sandbox検知ロジック」で命令の組み合わせに基づいて検知。
HIPSエンジン 実行中プログラムの動作を監視。他プログラムへの侵入、異常なネットワークアクセス、
キーロガーやバックドア的な動作などの挙動を、独自の「DHIPSロジック」 で検知。
機械学習エンジン FFRIが収集したマルウェアに関するビッグデータを元に実行中のプログラムを監視。
ビッグデータ上の振る舞い特性を抽出し、機械学習で分析した特徴により端末上の悪意ある挙動を検知。

5つのエンジンの処理フローと役割

image_y09

未知マルウェア対策を強化

悪意ある実行ファイルをメールに添付し、
それを開かせて感染させるケースが近年増加傾向にある。

標的型攻撃に使用された不審ファイルのうち
実行ファイルは64%、文書ファイルは27%
出典:http://www.ipa.go.jp/files/000036584.pdf
ビッグデータを活用し、悪意ある挙動を監視

image_y13

昨今、ビッグデータ・機械学習を用いたデータ解析のアプローチは、
様々なシーンで見られます。例えば、顧客の購買行動の情報等を
活用したマーケティングの手法や、スパムメールのフィルタリング
といった分野では実用化されており、機械学習によって
未来の動向を予見することが可能です。

FFRIはマルウェアをビッグデータとして捉え、
機械学習にかけてその傾向・特徴を抽出し、
多くのセキュリティベンダーに先駆けて
マルウェア検知エンジンとして実装することに成功しました。
人間には想像しきれない観点での検知が実現可能です。

image_y14

米国連邦捜査局(FBI)が、社内コンピュータの破壊を行うマルウェア攻撃が発生しているとして、米国内の企業に対して注意喚起を行っている模様です。(2014年12月3日報道ベース)
このマルウェアは、先日から大きく報道されているソニーピクチャーズエンタテインメント社に対する一連のサイバー攻撃との関連が指摘されています。この一連の攻撃で使われているとされるマルウェアを入手し、「FFR yarai」のStatic分析エンジンで防御可能であることを確認しました。
本マルウェアは感染したシステムのハードディスクの全データを破壊(消去)します。マスターブートレコードも含めて破壊するので、感染したシステムは起動不能に陥ることが想定されます。
本検証は、下記環境にて実施しました。
FFR yarai 2.5.1192 (2014/8/22リリース)
Windows 7 x64 SP1

image_y15

image_y16

時期 名称 検知エンジン 検出可否
2011年3月 震災マルウェア ZDPエンジン  image_y17
2011年9月 国内防衛産業を狙ったマルウェア ZDPエンジン  image_y17
2012年10月 パソコン遠隔操作事件.NET製マルウェア Static分析エンジン  image_y17
2013年3月 韓国へのサイバー攻撃マルウェア Sandboxエンジン  image_y17
2014年9月 MITBマルウェア (Game Over Zeus v3) HIPSエンジン  image_y17
2014年9月 FinFisher (FinSpy) マルウェア Static分析エンジン  image_y17
2014年11月 Darkhotel マルウェア Static分析エンジン  image_y17
2014年11月 医療費通知偽装 マルウェア Static分析エンジン  image_y17
2014年12月 FBIが警告 「システム破壊型マルウェア」 Static分析エンジン  image_y17
2015年2月 HDDファームウェア感染マルウェア Static分析エンジン  image_y17
2015年3月 バンキングマルウェア「DRIDEX」 Sandboxエンジン  image_y17

image_y17・・・ 検出可
検出した未知マルウェアのうち、著名なもので 公開可能なものを抜粋しました。

標的型攻撃対策ソフトウェア「FFR yarai」で検証を実施しております。各検知エンジンでマルウェアを検出し、システムを保護できることを確認しています。

 

image_y18
2015年1月22日にアドビシステムズ社より同社のAdobe Flash Playerに脆弱性の存在を確認したことを発表し、解決方法や該当製品などが公開されました。攻撃者がこの脆弱性を悪用した場合、コンピュータを乗っ取られてしまう可能性があります。独立行政法人情報処理推進機構からは、既にこの脆弱性が修正プログラムの公開前(ゼロデイ期間)に標的型攻撃に利用されていることが報告されています。脆弱性対策情報データベース JVN iPedia で公開されている CVSS (ソフトウェア製品の脆弱性深刻度評価指標)では、10点満点中 10.0の深刻度の脆弱性として報告されています。

弊社では、検体を入手し、弊社の標的型攻撃対策ソフトウェア「FFR yarai」のZDPエンジン(脆弱性攻撃防御機能)により、同様の攻撃を防御できることを確認しました
本検証は、下記環境にて実施しました。
FFR yarai 2.5.1216.0  (2014/12/10リリース)
Windows XP SP3
image_y19

image_y20

CVE 名称 脆弱性脅威 検出可否
CVE-2013-0431 Java Applet JMX Remote Code Execution 攻撃者による任意Javaコード実行  image_y17
CVE-2012-4914 Cool PDF Image Stream Buffer Overflow 攻撃者による任意コード実行  image_y17
CVE-2013-1493 Java CMM Remote Code Execution 攻撃者による任意Javaコード実行  image_y17
CVE-2013-2423 Java Applet Reflection Type Confusion Remote Code Execution 攻撃者による任意Javaコード実行  image_y17
CVE-2013-2460 Java Applet ProviderSkeleton Insecure Invoke Method 攻撃者による任意スタティックメソッド実行  image_y17
CVE-2013-1017 Apple QuickTime 7 Invalid Atom Length Buffer Overflow 攻撃者による任意コード実行  image_y17
CVE-2013-3918 MS13-090 CardSpaceClaim Collection ActiveX Integer Underflow 攻撃者による任意コード実行  image_y17
CVE-2014-0322 Microsoft Internet Explorer Use After Free Vulnerability 攻撃者による任意コード実行  image_y17
CVE-2014-1761 Vulnerability in Microsoft Word Could Allow Remote Code Execution 攻撃者による任意コード実行  image_y17
CVE-2014-7247 Unspecified vulnerability in JustSystems Ichitaro 2008 through 2011 攻撃者による任意コード実行  image_y17
CVE-2015-0311 Unspecified vulnerability in Adobe Flash Player through 13.0.0.262 and 14.x, 15.x, and 16.x through 16.0.0.287 攻撃者による任意コード実行  image_y17

image_y17・・・ 検出可

標的型攻撃対策ソフトウェア「FFR yarai」で、脆弱性を利用した攻撃の検証を実施しております。
ZDPエンジンで脆弱性攻撃を検出し、システムを保護できることを確認しています。

FFR Enterprise Management Console

・コンソールからのプッシュ型インストール
・ポリシー配布による集中管理
・インストール状況およびアップデートの把握
・ライセンス管理
・イベントログ管理

img_y_2
img_y_1

Windows XP 等のサポート期間

Windows XP
2014年4月9日
Office 2003
2014年4月9日
Windows Server2003
2015年7月14日

FFR yarai および FFR yarai 脆弱性攻撃防御機能は、
下記OSを2017年12月31日までサポートします。

Windows XP SP2以上
Windows Server 2003 SP2以上

FFR yaraiカタログ-3

FFR yaraiカタログ-4

検知事例


yarai_検知事例-8

yarai_検知事例-7

yarai_検知事例-6

yarai_検知事例-5

yarai_検知事例-4

yarai_検知事例-3

yarai_検知事例-2

従来のセキュリティ対策の課題とyaraiによる解決策

 

従来のセキュリティ対策の課題とyaraiによる解決策-2

従来のセキュリティ対策の課題とyaraiによる解決策-3

従来のセキュリティ対策の課題とyaraiによる解決策-4

従来のセキュリティ対策の課題とyaraiによる解決策-5

従来のセキュリティ対策の課題とyaraiによる解決策-6