カスペルスキー インターネット セキュリティ 2014の新機能（その2）：アルファ、ベータ、ゼータ

ふたたび、こんにちは！

サイバー犯罪者から皆さんのデータを守る使命を帯びたカスペルスキー インターネット セキュリティ 2014。前回紹介したもののほかに、どんな新機能や興味深い機能を見つけることができるだろうか。今日ご紹介するのは「ZETAシールド」技術だ。

ZETAシールド（ゼータシールド、と読む）は、ハイテクなアンチウイルス顕微鏡だと考えるのが一番分かりやすいだろう。入り組んだファイルの奥深くに潜む狡猾なマルウェアを見つけ出し、排除する技術だ。簡単に言うと、ZETAシールドは将来起こり得る脅威に対抗するカスペルスキー独自の防御技術であり、最もありそうにない場所にあるまだ知られぬサイバー脅威を追跡できる。

もっと分かりやすくするため、ロシアの伝統的な「マトリョーシカ」を思い浮かべてみよう。

1つを開けると中にもう1体入っていて、さらにその中にもう1体入っている、さらにその中に…。奥深く潜んでいる厄介なプログラムを説明するのに、なかなか良い例えだ。マルウェアは必死になって、周囲の要素に自分の存在を埋もれさせようとする。そして時にはデジタルの「整形手術」によって見た目を変え、アンチウイルス製品から逃れようとするのだ。アーカイブや暗号化されたコンテナー、マルチメディアファイル、Officeドキュメント、スクリプト…どこに隠れるか、可能性を挙げればキリがない。アンチウイルス製品の役割は、さまざまなオブジェクトの中に潜む真の要素を見極め、内部を調査し、マルウェアを抽出することだ。

それだけ？いや、実際はそこまでシンプルではない。

アンチウイルス製品はこれまで長いこと、複雑なファイルを調査することができていた。たとえばカスペルスキーのアンチウイルスエンジンは、90年代から他企業にライセンスされてきたが、これは、アーカイブされたファイルやパッケージ化されたファイルをアンパックする能力を買われてのことだった。しかしアンパックは、やるべきことの半分に過ぎない。入り組んだファイルを調べるだけでなく、「マトリョーシカ」を解析し、何がどのように行われるかを把握し、さまざまなイベントとの関連性を見極め、最終的に原因を突きとめられるツールが必要なのだ。重要なのは、従来型のシグネチャやアップデートがなくても、これを予防的に（プロアクティブに）行うこと。バイナリー兵器が仕掛けられているかもしれない場所を突きとめる作業に似ている。そのような兵器は独立したコンポーネントからできていて、コンポーネント単体では無害でも、組み合わされると恐ろしく有害なものとなる。

ここがZETAシールドの出番だ。

さらに、標的型攻撃とゼロデイ攻撃が増加を続け、ますます巧妙化するしているこのご時世、まさに今こそその出番といっていい。ZETAシールドは、まさにそれらに対抗するために作られたものなのだ（ZETA＝Zero-day Exploits & Targeted Attacksの略）。

ZETAシールドは実行アプリケーションの制限機能に続き、カスペルスキーの法人向け製品からカスペルスキー インターネット セキュリティ 2014に導入された機能だ。ZETAシールドはもともと当社の法人向けソリューションに導入されてその価値を実証してきたが、今回その技術が個人向け製品に応用された。私の知る限り、このような技術を個人向け製品に採用したのは世界初のことだ。

ZETAシールドの仕事は2つのステージに分けられる。

最初はやや機械的な作業だ。まず、ターゲットを細かく分解する。たとえばWordのドキュメントには、さまざまなアイテムが埋め込まれている。他のファイル、フラッシュデータ、別のドキュメント、時にはオペレーティングシステムのディストリビューションやウイルス一式が埋め込まれていることもある – まさに、なんでもかんでもだ！私たちの仕事は、こうしたアイテムの本質を見極め（変装しているものがなんと多いことか）、分類することだ。

さて、ここからがおもしろくなる。ヒューリスティック分析が始まるのだ。コンテンツ、入れ子になったレイヤー、そしてそれらアイテムの関係性を調べあげ、過去に検知された脅威のテンプレートと照らし合わせて類似性を評価し、異常性を検知し、そのファイルがどれだけ危険なものか判断していく（バイナリ兵器かどうかにかかわらず）。

その判断はクラウドベースのKaspersky Security Network(KSN)と手を携えて下される。KSNは、他のユーザーのマシンで似たような疑わしい症状を検知したアンチウイルス製品の統計値を提供する。私たちはKSNを通じ、脅威の範囲と地理的な分布状況を確認し、標的型攻撃で一般的にみられる異常性を識別し、将来ユーザーを保護するのに役立つ多くのデータを取得することができる。

もう1つ、別のものに例えてみよう。ZETAシールドの最初の作業は、車の部品から車種を識別するのに似ている。プラスチックの車体？車輪1個で動く？バイクレベルのエンジン？ドイツ製？「トラバント」に違いない。じつに簡単！

しかし、次に来るのは、かなり頭を使う作業だ。トラバントを部品に分けたあとに、その部品を1つずつ分析し、実のところ何に使われるのかを確認するようなものだ。

3月に発生した標的型攻撃を例にとってみよう。標的となった被害者にはRTFドキュメントが送りつけられた。ドキュメントには「Financial Results for the First Nine Months of 2012（2012年の最初の9か月間の財務レポート）」というタイトルが付いており、ルービン潜水艦の設計会社が送ったかのように見せかけられていた（この種のソーシャルエンジニアリングはいまだに有効だ）。ドキュメントの奥深くには、エクスプロイトとマルウェアドロッパーの両方が潜んでいた。しかし、これが難しいところだが、被害者たちが使っていたアンチウイルス製品では認識できなかったのだ。悪意あるプログラムは、さまざまな種類の雑多なデータの中に非常に巧妙に隠されていたからだ。一方ZETAシールドは、このRTFの正体をすぐに突きとめた。

企業環境では、この技術によって個別のファイルだけでなく、データのストリームを「分析」することも可能だ。1日の終わりには、ひとつひとつのファイルが1枚の大きな絵の一部分となる。その絵を眺めることで（バイナリー兵器のコンポーネントをすべて確認することで）、より複雑な関係性を見極め、情報に基づいたより良い判断を下すことができる。

悲しいかな、カスペルスキー インターネット セキュリティ 2014のZETAシールドの生産性はそこまでではない。個人向けバージョンではファイルのみを対象とし、オンデマンドモードでの動作に限られる。とはいえ、適正なウイルス対策（最大のスキャンパワーでコンピューターを定期的にチェックすること）と合わせ、ホームユーザーを狙う標的型攻撃を防ぐという重要な「プラスアルファ」だ。（たとえば、上級管理職に就いていれば、職場に限らず家庭の個人用コンピューターも攻撃の対象となる可能性がある。家庭では企業サーバーレベルの保護はかかっていない。ここでZETAシールドの出番となる。ZETAシールドは「実行アプリケーションの制限」「ぜい弱性攻撃ブロック」と連動して、ぜい弱性を悪用する攻撃を排除する。）

ここで当然起こる疑問は、（1）この優れたサーバー技術を個人向け製品で採用したのはなぜか、（2）家庭用のコンピューターや小企業を相手に標的型攻撃を企むのは誰か、ということだろう。

まず、1つ大事な点がある。

標的型攻撃は政府機関、防衛機関、重要なインフラストラクチャ、政治家などを狙いに定めており、一般企業が狙われるとしたらMicrosoftほどの規模でないとありえない、と一般的に考えられている。また、そうした攻撃は、ハリウッドの不滅性と匹敵するくらい恐ろしく複雑なものだと思っている人も多い。

ノー。どちらも誤解だ。

1つ目の誤解は、メディアがハイレベルの攻撃しか報道しないことが原因と考えられる。2つ目については、難解な技術用語があふれているため、または逆に情報が少なすぎることが理由で、「そうか、政府機関が攻撃されたのか。政府機関には最高レベルの専門家がいるし、防御もしっかりしているはずだろう。つまりこういう攻撃は、コンピューターの天才が仕掛けたものなのだ」などという結論に達してしまうのだろう。

しかし現実には、ハッキング集団Winntiの起こした騒ぎや、FinSpyのような商業的スパイウェアが存在している事実を考えると、ほとんどすべてのユーザーまたは組織が標的型攻撃の対象となりうる。また忘れてはならないのは、コンピューターへの脅威をコントロールするのはインフルエンザをコントロールするようなものだ、ということだ。標的型攻撃は制御可能な範囲を超え、大勢の無実なる第三者に影響することがある（しかも自分に返ってくるケースすらある！）。

標的型攻撃が複雑そうに見える点についていえば、「複雑そうに見える」という言葉はそのものずばりだ。たしかに、複雑なサイバー犯罪もある（StuxnetやFlameなど）。しかし大部分は、すでに知られている手法と、少しのソーシャルエンジニアリングを組み合わせたものなのだ。しかも、よりいっそう簡単に、安上がりになっている。1,000ドルも払えば「エクスプロイトキット」が手に入り、モデルキットのように組み立てることができる。

最後に、個人向け製品に「優れたサーバー技術」と複合的な保護を搭載する主な理由について説明しよう。

あらゆる発明は、邪悪なものであっても、ライフサイクルがある。遅かれ早かれ、巷にいるサイバー世界の悪い奴らが、かつてはトップクラスの専門家にしか分からなかったきわめて複雑な攻撃を利用する方法を見つけることだろう（そう、標的型攻撃の商用化だ）。しかし私たちには準備ができている。カスペルスキー インターネット セキュリティは、来るべきマルウェアの猛攻にも立ち向かうことができるのだ！

まとめると、こういうことだ：私たちは未来を見越した準備ができている。製品を使うあなたも。