現代のサイバー犯罪との戦いは、例えるなら「長期にわたるかくれんぼ」です。サイバー犯罪者は、検知やフォレンジックを阻止するため、悪意あるペイロードを隠す方法を新たに開発しようと力を注いでいます。特に創造性を発揮するのがAPTを仕掛ける攻撃者で、彼らは高度な隠匿方法を開発するためのリソースを豊富に有しています。したがって、Kaspersky Labに与えられた任務は、隠れた脅威を検知し、サイバー犯罪者が繰り出す手口をどんなものであろうとも解析する、その手段をお客様へご提供することです。そうした手段の1つが、新たに導入されたサービス「Kaspersky Cloud Sandbox」です。
どんなタイプのスキャナーでも検知できないように作られたマルウェアは、どうすれば検知できるのでしょうか?悪意ある活動を始めたときに現行犯で捕らえればよさそうです。この方法はしかし、企業ネットワークで行うにはリスクがあります。そこで、インフラを保護しながら「犯行再現実験」を行うために発明された手法がサンドボックスです。
サンドボックスという手法のポイントは、メインのインフラから隔離されて厳密に管理された環境でプログラムを実行することにあります。このため、プログラムがその正体を現しても、実質的な害は及びません。この手法は何らかの形で当社製品に広く採用されており、大きな効果を示しています。問題は、その仕組みを知っているのが私たちだけではなく、犯罪者たちもサンドボックスの存在に気付いている点です。
APTに使われるペイロードには、通常、マルウェアの動作環境を調べることに特化したチェックアップ手順が追加されています。マルウェアが実環境で動作しているか、誰かに調べられているかを見極めるのが目的です。コントロールされた環境で稼動している疑いのあることが判明すると、マルウェアは悪意ある活動をすべて停止し、目立たない状態を保持します。
これに対し、Kaspersky Cloud Sandboxでは、一般的な従業員が日常的に行うようなこと(キーボードを叩く、長いテキストをスクロールする、Webサイトにアクセスするなど)を再現することにより、サンドボックスを通常のワークステーションに見せかけます。同時に、サンドボックス内で起きていることは(干渉することなく)すべて記録します。こうしたログにより、問題となっているオブジェクトを徹底的に分析することが可能となり、メモリにどのような文字列が作られたか、システムレジストリにアクセスしたのは何か、どのインターネットアドレスがチェックされたかといった情報を調査記録にまとめることができます。
もちろん、こうした手段を必ずしもインフラに常備しておく必要はありません。Kaspersky Cloud Sandboxへは、Kaspersky Threat Intelligence Portal(脅威インテリジェンスポータル)のクライアントからアクセスできるようになっています。Kaspersky Threat Intelligence Portalは、実質的に、手に入る限りの脅威インテリジェンスデータがリアルタイムで集まるデータセンターです。セキュリティオペレーションセンター(SOC)に携わる従業員やフォレンジック担当者など、脅威に関する情報を必要とする場合には、同クライアントを通じて、怪しいオブジェクトに関する詳細なレポートを受け取ることが可能です。
当社のクラウドサンドボックスは、Kaspersky Security Network(KSN)から提供される最新情報だけでなく、最新のふるまい検知テクノロジーも搭載しています。そのため、実環境に流通していない脅威であっても検知が可能となっています。
Kaspersky Cloud Sandboxが特に力を発揮するのは、サイバーインシデントの捜査においてです。サイバー犯罪との戦いの半分を占めるのは、犯罪の防止です。そのためには、サイバー犯罪者が何を標的にし、どのような手口を使用しているかを理解することが重要です。同一の犯罪が再発した場合や類似の攻撃が発生した場合、ほかの何よりも、こういった情報がセキュリティシステムの改善に役立ちます。
Kaspersky Threat Intelligence Portalへのアクセスをご希望の場合は、こちらのページよりお問い合わせください。Kaspersky Cloud Sandboxの詳細については、こちらの資料をご覧ください(リンクからは、英語版PDFが直接開きます)。