マルウェア検知サービス6選。使われる技術やツールの特徴は? マルウェア検知サービス6選。使われる技術やツールの特徴は?
最終更新日:2022-01-19
自社を標的とした未知のマルウェアへの感染を防ぎ、情報資産を守りたいと考えている方へ。マルウェア検知のために使われる技術やツールの特徴と、それらを利用するマルウェア検知サービスの選び方を紹介します。
目次
マルウェア検知とは?
マルウェア検知とは、様々な経路から侵入や感染を試みるマルウェアをいち早く検知することで、感染を未然に防いだり、万一感染してしまった場合には被害を最小限に抑えられるようにしたりするための取り組みです。次項で説明するマルウェア対策のための技術や手法を複数組み合わせた「多層防御」により実現するのが一般的です。
マルウェアとは?
具体的な対策の前に、まずマルウェアについてどのような種類があるのかを確認しておきたい方に向けて、簡単に説明しておきます。
マルウェアとは、ウイルスやワーム、トロイの木馬、スパイウェアなど、IT機器やネットワークに何らかの危害を加えることを目的として作られた悪意のあるプログラムの総称です。感染しても普段は何もせず、外部からの指令を受けたときだけ活動する「ボット」や、ユーザーのPC上に特定の広告を表示するのが目的の「アドウェア」といったプログラムもマルウェアに含まれます。
悪意のあるプログラムと聞くと、ユーザーがうっかり不正なソフトウェアをダウンロードして実行してしまうようなイメージを思い浮かべる人も多いかもしれません。しかし、侵入・感染経路は他にもたくさんあります。不審なメールに添付されているファイルを開封したり、OSやサーバーソフトなどソフトウェアの脆弱性を突いて攻撃されたりすることでマルウェアに感染するケースもよくあります。Webブラウザに脆弱性がある場合には、特定のWebサイトにアクセスするだけでマルウエアに感染してしまうこともあります。
マルウェア検知のための技術やツール
マルウェア検知に使えるセキュリティ技術や仕組みは様々ありますが、主なものとしては、以下に挙げる4つがあります。
(1)ウイルス対策ソフト
ウイルス対策ソフトは基本的に、マルウェアを構成するプログラムコードに含まれる特徴的なパターンをあらかじめ検知用データベース(「パターンファイル」や「シグネチャ」、「定義ファイル」などと呼ばれます)として持っておき、調べたいファイルの中に一致するパターンがあるかどうかを検査する「パターンマッチング方式」によりマルウェアを検知します。このため、検知用データベースに登録されていない未知のマルウェアや、ソフトウェアの脆弱性を突いてPCを乗っ取るタイプのマルウェアなど、検知できずにすり抜けを許してしまうリスクがどうしても生じます。
特に最近は、「標的型攻撃」(APT:Advanced Persistent Threats)と呼ばれる、特定の企業や組織をターゲットにしたサイバー攻撃が増えており、攻撃する際にターゲット向けにカスタマイズしたマルウェアが作成され用いられることも珍しくありません。一般に、標的型攻撃では社内や取引先などからのメールを装ったマルウェア入りメールが使われますが、なかにはターゲット企業内部にあるPCからよくアクセスするWebサイトを乗っ取ってマルウェアを仕掛けておき、その企業からアクセスがあったときだけマルウェアを送り込んで感染させるといった非常に高度な攻撃手法(「水飲み場攻撃」などと呼ばれます)も存在します。
また、感染したシステム内にあるファイルを暗号化して使えないようにしておき、暗号化を解くために法外な身代金を要求する「ランサムウェア」と呼ばれるタイプのマルウェアによる被害も急増しています。
当然ですが、こうした攻撃を実行する場合、攻撃者(ハッカー)はマルウェアを作る過程で一般的なウイルス対策ソフトでは検知できないことを確認します。このため、本気で自社を狙って送り込まれるようなマルウェアに対しては、ウイルス対策ソフトはほとんど役に立たないと考えた方がよいでしょう(ただし既知のマルウェアを防ぐためにウイルス対策ソフトはやはり必要です)。マルウェア検知や対策に多層防御の考え方が必要なのは、こうした理由があるためです。
(2)ファイアウォールやIDS/IPS
ファイアウォールやIDS/IPS(Intrusion Detection/Prevention System、侵入検知/防止システム)は、正当な通信だけを許可し、攻撃や侵入につながる不審な通信を遮断するためのセキュリティ機器ですが、マルウェア特有の通信パターンを識別してブロックするマルウェア検知・防御の目的でも利用できます。
ただし、ウイルス対策ソフトのようにファイルに含まれるマルウェアを検出したり駆除したり追跡したりする機能などはなく、あくまでも多層防御を実現するために使える技術・ツールの一要素という位置付けです。
(3)EDR
EDRとは?
EDR(Endpoint Detection and Response)は耳慣れない用語だと思いますが、マルウェア対策のための有効な手立ての一つとして最近注目を集めているツールです。PCやサーバー、最近ではスマホやタブレット端末なども含む会社や組織のネットワークに接続されたIT機器(エンドポイント)上で、プログラムの挙動を監視したりログデータを収集したりすることにより、マルウェアへの感染などをいち早く検知して対処可能にします。
たとえば、「特定のPCから普段はほとんどない社内サーバーへのアクセスが急増したら、ウイルス対策ソフトで検知されていなくてもその振る舞いからマルウェアに感染したと判断してそのPCからの通信を遮断する」といった処理を行えます。社内ネットワーク上にある複数の端末のログデータを解析することで、マルウェアがどのような経路で侵入してどこまで感染したのかを突き止めるなど、事後対策のための調査分析にも役立ちます。
EDRと従来型の対策ツールの違い
ウイルス対策ソフトやファイアウォール、IDS/IPSによるマルウェア対策は、感染する前に食い止めようといういわば「水際対策」です。これに対してEDRは、感染した後になるべく早くその事実を察知して被害を最小限に抑えることを目的とした「感染拡大防止対策」に当たり、コンセプトが根本から異なっています。両者を組み合わせることで、マルウェア検知と防御の可能性をより高められます。
なぜEDRのようなシステムが登場したかというと、マルウェア技術が高度に進化している昨今、感染を未然に防ぎ続けるのは困難になる一方であり、そこに際限なく注力して投資をするよりも、「マルウェアがすり抜けてきて感染する前提で、そのときに被害を最小限に防ぐ手立ても用意しておくべき」という考え方が浸透してきたためです。
なお、EDRに対してウイルス対策ソフトをはじめとする従来型の対策ツールを総称してEPP(Endpoint Protection Platform)と呼ぶこともあります。EPPとEDRは対立するものではなく、適切に組み合わせることでマルウェア検知と防御の可能性をより高めることが可能です。
(4)サンドボックス
サンドボックスとは?
サンドボックス(Sandbox、砂場)は、上記EPPやEDRとはまた別の概念/仕組みです。不審なファイルやプログラムをソフトウェア的に隔離された「砂場」(仮想環境)の中に投入し、実際に開いたり動かしたりしてみてその振る舞いなどからマルウェアを検知するというものです。仮想環境の中で動かすため、(少なくとも理屈上は)実環境に影響を及ぼすことなく安全にマルウェアを検知可能です。
「Emotet」(エモテット)に代表される、メールの添付ファイル経由で入ってきて、感染後に追加で悪質なプログラムなどをダウンロードするタイプの未知のマルウェアも、サンドボックスならその振る舞いから検知できる可能性が十分あります。そのほか、仮想環境の中では、ウイルス対策ソフトのようなパターンマッチング方式で既知のマルウェアを検知することももちろんできますし、EDRのように感染後の挙動を追跡することなども可能です。
サンドボックスの課題
このように聞くと、サンドボックスを搭載したセキュリティ製品こそマルウェア検知のための万能なツールのように思えますが、そう単純な話ではありません。サンドボックスを搭載したセキュリティ機器やシステムは比較的高価でどこにでも気軽に導入できるものではありませんし、企業のシステムやネットワーク構成などによっては、サンドボックスを使えなかったり導入が難しかったりします。
そうした問題がないとしても、たとえば「仮想環境の中では動作しない」ようにしたり、仮想環境の中で単純に実行しても怪しい挙動は見せず、「人間が特定の操作をしたときだけ悪さをする」ように作ったりするなど様々な回避策が次々と考え出されており、どんなマルウェアでも確実に検知できる保証はありません。
そうした回避策に対抗すべく、最近ではAI技術を使って検知精度をより高めた次世代型サンドボックスなども登場していますが、当然、それらを回避する仕組みを備えたマルウェアも出現することが予想され、攻撃側と防御側の“いたちごっこ”に決着がつくことは当面ないでしょう。やはりサンドボックス以外のツールや技術も適切に組み合わせて多層的に対策をすることが必要です。
マルウェア検知サービスとは?
「マルウェア検知サービス」は、自社でマルウェア検知体制を組むのが難しい企業のために、マルウェア検知の仕組みを提供したり対策の支援を実施したりするサービスです。
高度なセキュリティ人材を多数抱えるセキュリティベンダーにアウトソーシングする形でマルウェア検知業務を委託できます。具体的にどういった仕組みや内容でマルウェアを検知するかはサービスごとに異なりますが、ウイルス対策ソフトなどをすり抜けてくる未知のマルウェアにも対応できるという点は共通しています。
マルウェア検知サービスは、たとえば以下のようなニーズを抱えた企業が利用するのに適しています。
マルウェア検知業務を完全にアウトソーシングする形で24時間365日の継続的な検知を依頼することももちろん可能ですが、料金が比較的高価ということもあり、1~3カ月程度の短期的な利用や、外部から攻撃を受けた恐れがある際などにスポットで利用するケースも多いようです。
マルウェア検知サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
マルウェア検知サービス資料をダウンロード
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
マルウェア検知サービスの仕組み・手法
既に述べたように、マルウェア検知にはいくつもの技術や仕組みが利用でき、組み合わせ方なども考えると無数のバリエーションが考えられます。セキュリティベンダーによって利用する技術やツール、対象範囲などサービス内容は大きく異なります。
一例として、レイ・イージス・ジャパン(以下、レイ・イージス社)のマルウェア検知サービスの場合、以下に示す4段階のステップでマルウェアを検知して分析を行います。
- 既知のマルウェア分析(既知や亜種のマルウェアとの比較)
- 逆コンパイル分析(ソースコード内の不審な注釈やコードスニペットなどを検出)
- IPアドレス/URL分析(サードパーティのプログラムソースコード内に埋め込まれたIPアドレスやドメイン名に不審なものがないかを確認)
- サンドボックスでの動的分析(サンドボックス上で実行させてみる。単純に動かすだけでなく、AI技術を用いて悪意ある動作をシミュレーションで誘発)
これらの分析・検知は、以下のような提供形態のもと実施されます。
- レイ・イージス社がサンドボックス装置を持ち込み、サーバーなどの検査対象機器に直接接続して全ファイルをチェックする
- IDSとサンドボックスのセットを貸し出し、ルーターやスイッチにミラーポート経由で接続したIDSをサンドボックス装置と連携させてネットワーク上を流れるファイルを自動的にサンドボックスに投入して検査する
また、単に設置したサンドボックス装置を通じてマルウェアを自動的に検知するだけでなく、検知したマルウェアについて同社のセキュリティエンジニアが知見に基づき危険度を判定して報告するなど、手動による調査や分析にもオプションで対応しています。サービスの提供期間についても、スポットでの検知から継続的な検知(1~3カ月単位での更新)まで柔軟に対応しています。
マルウェア検知サービスの提供形態
マルウェア検知サービスは、その提供形態により大きく「オンサイト型」と「リモート監視型」の二つのタイプに分けられます。
オンサイト型
オンサイト型(スポット型あるいはワンショット型などとも呼ばれます)サービスは、セキュリティベンダーのセキュリティエンジニアやアナリストがサービス契約企業を訪問して、サーバーなどの調査対象機器や社内ネットワークにマルウェアが侵入していないかを直接調べるというものです。外部からの攻撃の兆候があったり、標的型攻撃のメールとおぼしき不審な添付ファイル付きメールが社内のユーザー宛てに届いたりした際に、1回限りで集中的にマルウェアを見つけたい場合などに利用されます。
リモート監視型
リモート監視型サービスは、社内ネットワーク上にセキュリティベンダーが貸し出す専用のセキュリティ機器を設置あるいはPCなどにエージェントソフトを導入し、通信パターンや振る舞いなどからマルウェアの侵入を監視するというものです。疑いのある通信パターンなどが見つかった際には、即座にリモート(遠隔)で監視をしているセキュリティベンダーに通知が飛び、実際にマルウェアであると判断された場合は管理者に連絡が入ります。並行してセキュリティベンダー側ではマルウェアの解析が実施され、サービスによっては後日詳細なレポートなども提供されます。
ただし、多くのマルウェア検知サービスは、利用を希望する企業のシステムやネットワーク構成、規模、利用期間(スポット利用/短期や定期的な利用/ 24時間365日監視)などの要件に合わせて導入するセキュリティ機器の台数や構成、設定内容、監視体制などを決めるのが普通で、料金も含めて個別に細かく相談した上で導入するカスタムメイドのサービスとして提供されます。
このため、オンサイトかリモートかといった話はあまり重要ではなく、どのようにマルウェアを検知したいのかという希望をベンダーに伝え、それが実現可能かどうかを確認することが重要です。たとえば前出のレイ・イージス社のサービスの場合、オンサイト型もリモート監視型も実施可能で、期間なども相談して決められるようになっています。
主なマルウェア検知サービス
マルウェア検知サービス資料をダウンロード
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
マルウェア検知サービス(株式会社レイ・イージス・ジャパン)
(出所:マルウェア検知サービス公式Webサイト)
静的解析と、AI技術およびサンドボックスによる動的分析を組み合わせたファイル検査型のマルウェア検知サービス。台湾CloudCoffer社の次世代型サンドボックス技術を採用し、システム内のファイルや開発中のプログラムファイルなどに対して、不正なコードや不審な通信先の有無などを検知する。
「表層解析」「静的解析」「IP/URLレピュテーション」「動的解析」という4段構えの検知メカニズムにより、ウイルス対策ソフトやEDRをすり抜けてくる未知のマルウェアも高精度で検知可能。サンドボックスの回避機構を備えたマルウェアに対しても、AI技術を使ったインタラクティブシミュレーションにより、悪意のある振る舞いを誘発して効果的にマルウェアを検知できる。
利用するソフトウェア本体だけでなく、サードパーティープログラムや外部ライブラリなどに含まれる不正なコードの検出にも対応。ソフトウェアの開発・提供のサプライチェーンを狙ってマルウェアを紛れ込ませる「ソフトウェアサプライチェーン攻撃」を防止できる。ファイルを調査するサービスのため、OSやハードウェアに依存せず、サポート切れOS上のファイルの検査もサポートする。
サービス提供形態は、単発でのスキャンサービスのほか、長期の監視目的でのサンドボックス装置のレンタルも可能となっている。価格は個別見積もりだが、たとえば単発で最大30個までのファイルまたはシステムイメージ一つを検査する「ワンショット不正コード、マルウェア検知サービス」の場合で20万円、サンドボックス機器を年単位でレンタルするケースで300万円/年~となっている(別途導入費用60万円が必要、ユーザー企業の環境に合わせたスクリプト提供などの作業費用も含む)。
今すぐ資料をダウンロードする(無料)
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
詳細はこちら
InfoCIC マルウェア検知サービス(株式会社インフォセック)
(出所:InfoCIC マルウェア検知サービス公式Webサイト)
サンドボックスを搭載した米FireEye社の統合セキュリティ機器「FireEye NXシリーズ」(Web MPS)と、標的型攻撃などを検知できるメールセキュリティソリューション「FireEye EXシリーズ」(Email MPS)を利用して、Webやメール経由でのマルウェアの侵入を検知するサービス。Webのコンテンツやメール添付ファイルの形で入ってくるマルウェアをサンドボックス内で動的に解析して検知できる。
FireEyeのログを分析し、マルウェアの疑いがあるファイルや、マルウェアの活動と考えられる通信を検出した場合、専用のポータルサイトや電子メールなどにより通知する。検出したマルウェアについては同社監視センターでの動的解析に加えてFireEye社での解析結果を合わせて報告。また、セキュリティ関連の情報や機器で検出したセキュリティインシデントの情報をまとめて月次レポートとして提供する。価格は個別見積もり。
詳細はこちら
モダンマルウェア検知(株式会社ブロードバンドセキュリティ)
(出所:モダンマルウェア検知公式Webサイト)
専用の高価なハードウェアを利用せず、エージェントソフト(サービスエージェント)を導入するだけで利用できるマルウェア検知サービス。米Lastline社の検知技術と、ブロードバンドセキュリティが持つセキュリティ運用のノウハウや分析技術を組み合わせることにより、高精度にマルウェア検知を実現できることを売りとしている。
社内ネットワーク上で稼働するサービスエージェントでトラフィックを監視し、マルウェア特有の通信パターンをデータベース(フィンガープリント)との照合やその振る舞いなどから検知する。未知のマルウェアの可能性がある検体について、同社のクラウド基盤上にあるサンドボックスで分析する仕組みも用意している。同サンドボックスは、独自開発のエミュレータ方式によるシステムコールの検査にも対応しており、I/Oや通信内容のみを検査する一般的なサンドボックスと異なり、サンドボックスを回避するタイプのマルウェアに対しても有効性を発揮する。
サンドボックスへの検体送付を含むサービス提供に関するすべてのやりとりは、同社の国内クラウドに閉じて実施されるため、自社情報が海外へ流出するリスクを大幅に減らすことが可能。価格は個別見積もり。
詳細はこちら
セキュリティ・プラス セキュア・ドック(MSS版)(株式会社アズジェント)
(出所:セキュリティ・プラス セキュア・ドック公式Webサイト)
遠隔監視タイプのマルウェア検知サービス。同社の専門アナリストがセキュリティ監視センター(SOC)にて24時間365日体制で監視を実施する。従来型対策をすり抜けた未知のマルウェアへの感染をいち早く見つけて実被害を最小化することに主眼を置いているのが特徴。
同社が貸し出す専用機器(センサー)「DAMBALLA Network Insight」で通信内容や振る舞い、ファイルの内容を分析することにより、マルウェアに感染した端末を発見する。DAMBALLA Network Insightは、LANスイッチのミラーポートなどに接続する形で企業ネットワーク内部に設置する。
マルウェアがC&C(Command and Control)サーバーなど外部のサーバーと通信している証拠を12個の検知エンジンで収集し、9つのリスク分析エンジンを用いて相関分析を実施。マルウェアが実害を及ぼす前に高精度で自動検出して管理者に通知できる。価格は個別見積もり。
詳細はこちら
マルウェア検知・対処支援サービス(富士通株式会社)
(出所:マルウェア検知・対処支援サービス公式Webサイト)
専用のモニタリング装置を使った遠隔監視型のマルウェア検知サービス。トレンドマイクロの検知技術を使い、成りすましメールを用いた侵入や感染後の外部へのデータ送信など、通信の振る舞いをモニタリングすることで未知のマルウェアを検知する。
ルールベースのマルウェア検出に仮想環境を用いた動的解析を加えた多段解析により、マルウェアを含む多様な脅威を分析できる。検知した脅威の内容については、相関分析などを加えて管理者が判断/対処しやすい形で報告する。発見したマルウェアの駆除支援なども実施。価格は個別見積もり。
詳細はこちら
新種マルウェア対策支援サービス BitDam(株式会社イエラエセキュリティ)
(出所:新種マルウェア対策支援サービス BitDam公式Webサイト)
ビデオ会議アプリやクラウドストレージ、クラウドメールを狙ったマルウェアに特化した検知サービス。これらのアプリの正常な実行フローを事前登録し、マルウェアの実行フローと比較するホワイトリスト方式により、既知・未知、種類を問わずマルウェアを検知できる。
上記ホワイトリスト方式によるマルウェア検知の仕組みに加えて、主にEmotet対策としてメールで受信したマルウェアを検知し、ユーザーに届く前に削除する機能なども備える(パスワード付きZIPファイルにも一部対応)。対応するアプリ/サービスはZoomやTeams、OneDrive、SharePoint、Google Workspaceなど。
価格は1アカウント当たり年額4,400円から(50~500アカウントの場合)。オプションとして導入サポートも別途提供する。
詳細はこちら
まとめ
ひとたび侵入され感染を許してしまうと企業に甚大な損害をもたらすマルウェアの感染被害を防ぐには、ウイルス対策ソフトをはじめとする各種セキュリティツールや技術を組み合わせた多層防御が欠かせません。しかし、最近では標的型攻撃をはじめとする攻撃技術の進化により、多層防御の仕組みをくぐり抜けて未知のマルウェアに感染するリスクが高まってきており、感染を未然に防ぎ切ることが困難になりつつあります。
このため、マルウェア対策としては、多層防御の仕組みを使って侵入や感染を極力食い止めつつ、万一感染した場合はいち早くこれを検知して被害を最小限に食い止めることが重要です。マルウェア検知サービスは、高度なセキュリティ知識を有するセキュリティエンジニアによる監視と運用の下、サンドボックスなど最新のセキュリティ技術とツールを駆使して未知のものも含むマルウェアを高精度に検知する仕組みを提供します。特に高度なセキュリティ知識を持つ人材が不足している企業にとって、マルウェア検知サービスは導入を検討してみる価値が十分あると言えるでしょう。
ただし、利用に当たっては、自社のどんなシステムや情報を守りたいのかといった監視対象や適用範囲、スポットでの利用か、それとも24時間365日の監視をしたいのかといった期間などについて、ある程度方針を固めた上でベンダーに見積もりや相談をすることをお勧めします。比較的高価なサービスだけに、むやみやたらに監視対象を増やしても、コストがかさむだけでそれに見合う効果が得られない可能性が高まるからです。
また、万一マルウェアに感染した後のアクションプランについても、ベンダー任せにせず、少なくとも大枠は自社であらかじめ策定しておくとよいでしょう。本記事の内容がマルウェア検知サービス導入の検討に少しでもお役に立てれば幸いです。
マルウェア検知サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
マルウェア検知サービス資料をダウンロード
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
サービス詳細はこちら
マルウェア検知サービス
マルウェア検知サービス
AI Sandboxを利用した不正コード・マルウェア検知サービス。独自の4フェーズの処理を通して、既知のマルウェアだけでなく、ウィルススキャンやEDRなどでは検...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。