タグのアーカイブ: テクノロジー

地理の授業

毎日、カスペルスキー製品向けに最大2,000件のアップデートがリリースされている。

毎週、こうしたアップデートを全世界のユーザーが10億回以上ダウンロードしている。

毎月、当社は約4ペタバイトのアップデートを配信している。

このようなアップデート(と他の技術の組み合わせ)によって、新たなサイバーの脅威からユーザーを保護しているのだ。ここ数年で、新種のマルウェアが見つかる頻度は、毎日や毎時間どころか、毎分、毎秒にまでなった。Kaspersky Labが解析する悪質コードは年間10億サンプル以上にのぼる。

一般のユーザーにとって、アンチウイルスのアップデートのダウンロードは、シンプルな自動のプロセスだ。バックグラウンドで静かに実行され、ユーザーの作業を邪魔することはない(当然のことだが)。しかし、アップデートするとき、水面下でいくつもの処理が行われている。アップデートは、当社が独自のアイデアとノウハウを結集して築き上げた大規模な分散型ITシステムと製品とを結ぶ、ほんの一端にすぎないのだ。

全体的な話をするとこんな感じだが、詳細はもっとおもしろい・・・

update

続きを読む:地理の授業

AVZ:誤検知のないヒューリスティック分析で未知の脅威と戦う

コンピューターという眠れるジャングルに潜む悪意を、1つ残らず見つけ出して撲滅するにはどうすればいいだろうか?

特に、これまで一度たりとも姿を現したことがなく、凶悪なまでにIQが高い(そして国家が支援していることも多い)極めて悪質な脅威はどうすればいいのか?

答えは至って簡単だ。できることはない。

まあ、善戦くらいはできるかもしれないが、真っ暗な部屋にいる黒猫のようなマルウェアを見つけるためには、一流のプロ自らが数人がかりで対処する必要がある。つまりお金がかかるのだ。しかし、市販のアンチウイルス製品で自動的にやるとなると、話がまったく変わってくる。大体の製品は、超高度な感染の気配を感じ取る程度なら可能だが、それが限界だ。少なくともこれは、従来型のアンチウイルスシグネチャとファイルスキャナーという昔ながらのアンチウイルスのアプローチを使う場合の話である。

では、何が解決策となるのか?

これも答えは簡単だ。いくつかの強大なる脳を大いに活用することで、高度な感染を検知して破壊するアンチウイルス製品の機能を自動化する。

続きを読む:AVZ:誤検知のないヒューリスティック分析で未知の脅威と戦う

Flickr

Instagram

あな素晴らしきJava対策、穴ではなく。

サイバー犯罪者がMicrosoft Office環境にしかけた攻撃がまた1つ、当社の精巧で頑強なセキュリティ技術によって阻止された。

先ごろ、新しいものではあるが、よくある攻撃が発見された。Word文書を開くと、悪意のあるコードがこっそりとコンピューターに侵入するという攻撃だ。これがゼロデイ攻撃でなければ、大きなニュースにはならなかっただろう。つまり、これまで知られておらず、修正パッチが存在しないMS Officeのぜい弱性が利用された攻撃だったのだ。この種の攻撃は、ほとんどのアンチウイルス製品の網をすり抜けてしまう。もうおわかりだろう。Kaspersky Labアンチウイルスが、きめ細かく編みこまれた網によって、この攻撃を一網打尽にしたのだ。

具体的に説明すると、当社のぜい弱性攻撃ブロック技術が異常なふるまいを検知し、それに伴う攻撃を事前にブロックした。更新をインストールすることなく、待つ必要もなく、面倒な作業もない。あっという間に片づけた。

ゼロデイ攻撃は近年、極めて深刻な脅威となっている。

全力をもって真正面から取り組まなければならない。だが、多くのアンチウイルス製品は、ゼロデイがもたらす未来のリスクの前にはまったくの無力だ。なぜなら、ほぼシグネチャだけに頼っており、「未来の脅威からの保護」は宣伝文句でうたわれているだけだからだ(ずいぶんと立派な宣伝文ではあるが)。しかし、当然ながら、未来の脅威からの真の(効果のある)保護というものには、並外れた知力と膨大な量の開発リソースの両方が必要になる。すべてのベンダーが知力を備えているわけではなく、開発リソースだけ豊富にあったとしても、うまくいくとは限らない。これは決してコピーできるような技術ではないのだ。

ブッダやニューエイジの信奉者は「今を生きる」べきだと説く。人生においてはすばらしい格言だが、ITセキュリティが今この瞬間を生きることは許されないと我々はずっと信じてきた。ITセキュリティは常に未来に目を向け、サイバー犯罪者の頭の中で何が起きているかを、事件が起きる前に予見する必要がある。映画「マイノリティ・リポート」のようなものだ。そのため我々は、90年代前半から長きにわたって「事前予防」に取り組んできた。我々は当時、特にヒューリスティックと独自のエミュレータを開発したことでITセキュリティ業界から注目を集めていた。先見性はKaspersky LabのDNAに組み込まれている!

それ以来、この技術には大規模な改修や微調整が行われて強化されてきたが、約2年半前、既知のぜい弱性と未知のぜい弱性の悪用を防ぐすべての機能が、ぜい弱性攻撃ブロックに集約された。そして、何とか間に合った。この技術によって、Red OctoberMiniDukeIcefogなどのさまざまな標的型攻撃を事前に発見することができたのだ。

その後、突如としてOracleのJavaがサイバー犯罪者から大きな注目を集めるようになったが、そのときもぜい弱性攻撃ブロックは迎撃態勢が整っており、さまざまな脅威との戦いでその効果を発揮した。ぜい弱性攻撃ブロックの戦いを可能にしたのは、Javaによる攻撃の検知に特化したJava2SWモジュールだ。

この記事ではJava2SWモジュールについて詳しく説明していく。

一般的なコンピューターの中でソフトウェアがどんな様子かというと、昔ながらのパッチワークに少し似ていて、たくさんの「パッチ」と「穴」がある。ソフトウェアには絶えず新しいぜい弱性が見つかっている(製品の人気が高ければ高いほど、多くのぜい弱性が頻繁に発見される)ため、ソフトウェアメーカーはパッチをリリースして修正しなければならない。

しかし、第1の問題として、ソフトウェアメーカーはすぐにパッチをリリースしない。何か月も放置する企業もある。

第2に、ほとんどのユーザーはパッチのインストールを忘れるか、気にもかけず、セキュリティホールだらけのソフトウェアを使い続ける。

とはいえ、明るい話題もある。世界のコンピューターの大半にアンチウイルスソフトウェアがインストールされているのだ!

ではどうするのか?答えは簡単、Java2SWを使う。Javaに関しては一石二鳥の技術だからだ。

全体的に見て、Javaのアーキテクチャはセキュリティ面ではかなり高度だ。各プログラムが隔離された環境(Java仮想マシン、JVM)で実行され、Security Managerに監視される。しかし、Javaはその人気の高さ故に標的にされた。システムをどれほど強固に保護しても、(人気の高さに比例して)あっという間にぜい弱性が見つかってしまう。ぜい弱性とは遅かれ早かれ発見されるものだが、すべてのソフトウェアベンダーはその準備をする必要がある。特に重要なのが、①保護技術をいち早く開発すること、②対応までの時間を短縮すること、③パッチによる更新がいかに重要かをユーザーに伝えること、だ。

実は、OracleはJavaに関して、こうした準備をうまくできなかった。むしろOracleの対応が非常にまずかったために、ユーザーはこぞってブラウザーからJavaを削除するようになった。Javaがないと、一部のWebサイトを開くのがとても大変になるのだが、それでも多くのユーザーが削除した。

次に挙げる数字は、読者のみなさんがご自分で判断してほしい。Javaで発見されたぜい弱性の数は、2010年が52件、2011年が59件、2012年が60件、2013年は(まだ終わっていないが)180だ。一方、Javaのぜい弱性を悪用した攻撃の数も増加しており、憂慮すべき事態となっている。

java2SW-1

続きを読む:あな素晴らしきJava対策、穴ではなく。

本ブログを購読するには、メールアドレスをご登録ください。新着記事をメールでお知らせします

カスペルスキー インターネット セキュリティ 2014の新機能(その3)

これはドン・ドレイパー(Don Draper)のセリフではない。1930年代のロシア文学の登場人物、オスタップ・ベンダー(Ostap Bender)の言葉の引用だ。もちろん、あの有名なベンダーとは関係ない。

興味深いことに、どうやらベンダー氏は、共産主義国の出身なのに資本主義について少しは知っていたようだ。ふむ…

とにかく、彼が知っていたのは、必死で稼いだお金を捨てるように仕向けることもできるということだ。人をうまく操作できればの話だが。

さて、いきなり現代の話になるが、こうした「操作」は今でも電子的な形で行われている。現代の人々は、デスクトップロッカーランサムウェア)を操る犯罪者に喜んで100ドル札を差し出す。デスクトップロッカーは秘密裏に動作するコンピューターマルウェアだが、カスペルスキー製品のユーザーは心配いらない。カスペルスキ インターネット セキュリテ(カスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)新バージョンに用意した素晴らしいサプライズが、愚かなサイバー犯罪者と彼らのデスクトップロッカーを待ち受けているからだ。

ランサムウェアの犯罪者市場における取引額は1,500万ドル以上に及び、被害者の数は何千万人にも達している

デスクトップロッカー、ランサムウェアの原理や技術は、どちらかというと単純だ。

さまざまな手段のどれか1つ(ソフトウェアのぜい弱性など)を利用して、悪意のあるプログラムをコンピューターに忍び込ませ、愉快な(そうでもないか)写真と恐ろしい(カスペルスキー インターネット セキュリティがあればこの限りではない)文章を表示して、デスクトップと他のすべてのプログラムのウィンドウをロックする。

ロックを解除できる(できたと言うべきか。詳しくは後述)のは、たった1つのコードだけだ。もちろん、そのコードはコンピューターを感染させたサイバー犯罪者から入手するしかなく、当然ながら、プレミアムSMSやオンライン決済システムで料金の支払いを求められる。身代金を払うまで、誘拐されたコンピューターは戻ってこない。何をしようと(Ctrl + Alt + Delを押しても)、どんなプログラムを実行しようとしても(アンチウイルスでも)動作せず、以下のような画面が表示されるだけだ。

ransomware1

続きを読む:カスペルスキー インターネット セキュリティ 2014の新機能(その3)

カスペルスキー インターネット セキュリティ 2014の新機能(その2):アルファ、ベータ、ゼータ

ふたたび、こんにちは!

サイバー犯罪者から皆さんのデータを守る使命を帯びたカスペルスキー インターネット セキュリティ 2014前回紹介したもののほかに、どんな新機能や興味深い機能を見つけることができるだろうか。今日ご紹介するのは「ZETAシールド」技術だ。

ZETAシールド(ゼータシールド、と読む)は、ハイテクなアンチウイルス顕微鏡だと考えるのが一番分かりやすいだろう。入り組んだファイルの奥深くに潜む狡猾なマルウェアを見つけ出し、排除する技術だ。簡単に言うと、ZETAシールドは将来起こり得る脅威に対抗するカスペルスキー独自の防御技術であり、最もありそうにない場所にあるまだ知られぬサイバー脅威を追跡できる。

もっと分かりやすくするため、ロシアの伝統的な「マトリョーシカ」を思い浮かべてみよう。

アンチウイルス製品は、奥深く隠れたマルウェアを、マトリョーシカを開けていくようにして探す。しかし実際はそんなにシンプルではない

1つを開けると中にもう1体入っていて、さらにその中にもう1体入っている、さらにその中に…。奥深く潜んでいる厄介なプログラムを説明するのに、なかなか良い例えだ。マルウェアは必死になって、周囲の要素に自分の存在を埋もれさせようとする。そして時にはデジタルの「整形手術」によって見た目を変え、アンチウイルス製品から逃れようとするのだ。アーカイブや暗号化されたコンテナー、マルチメディアファイル、Officeドキュメント、スクリプト…どこに隠れるか、可能性を挙げればキリがない。アンチウイルス製品の役割は、さまざまなオブジェクトの中に潜む真の要素を見極め、内部を調査し、マルウェアを抽出することだ。

それだけ?いや、実際はそこまでシンプルではない。

アンチウイルス製品はこれまで長いこと、複雑なファイルを調査することができていた。たとえばカスペルスキーのアンチウイルスエンジンは、90年代から他企業にライセンスされてきたが、これは、アーカイブされたファイルやパッケージ化されたファイルをアンパックする能力を買われてのことだった。しかしアンパックは、やるべきことの半分に過ぎない。入り組んだファイルを調べるだけでなく、「マトリョーシカ」を解析し、何がどのように行われるかを把握し、さまざまなイベントとの関連性を見極め、最終的に原因を突きとめられるツールが必要なのだ。重要なのは、従来型のシグネチャやアップデートがなくても、これを予防的に(プロアクティブに)行うこと。バイナリー兵器が仕掛けられているかもしれない場所を突きとめる作業に似ている。そのような兵器は独立したコンポーネントからできていて、コンポーネント単体では無害でも、組み合わされると恐ろしく有害なものとなる。

ここがZETAシールドの出番だ。

さらに、標的型攻撃ゼロデイ攻撃が増加を続け、ますます巧妙化するしているこのご時世、まさに今こそその出番といっていい。ZETAシールドは、まさにそれらに対抗するために作られたものなのだ(ZETA=Zero-day Exploits & Targeted Attacksの略)。

zeta_shield_logo

続きを読む:カスペルスキー インターネット セキュリティ 2014の新機能(その2):アルファ、ベータ、ゼータ

カスペルスキー インターネット セキュリティ 2014の新機能(その1)

めでたいことに、カスペルスキー インターネット セキュリティの最新バージョンが(ほぼ)全世界で発売となった。

カスペルスキー インターネット セキュリティ 2014(カスペルスキー 2014 マルチプラットフォーム セキュリティのWindows対応プログラム)自体に興味がある方はこちらから新バージョンをダウンロードしてほしい。アップグレードのガイドラインはここから参照できる。

これもある意味、秋の伝統になりつつあるが、私から皆さんに新バージョンの機能についてお話しするときがやってきた。

カスペルスキー インターネット セキュリティ 2014には、数多くの新機能がある。特筆に値するのは、これからやってくる脅威に対する対策だ

まずは新機能について –  これはたくさんある。とにかく数が多いので、個別の記事で(あるいは多少まとめて)紹介していこうと思う。新機能の秘密をすべて解説するには、1つの短いブログ記事では到底収まらない。一晩かけても読み切れないはず…。

では、まず第1弾:

カスペルスキー インターネット セキュリティ 2014は基本的に、すでに強力だった旧バージョンカスペルスキー インターネット セキュリティ 2013に、さらに強力な機能を盛り込んだ製品だ。新バージョンが提供するプロテクションは、さらに堅牢に、さらに良く、さらに早く、さらに強力になった。インターフェイスは美容整形大手術を経て完全に生まれ変わり、主な動作のロジックも全面改修されている。また、オンライン取引の安全を確実にする新機能(ネット決済保護を強化)や、保護者による管理に追加された新機能、悪質なスクリーンロッカーに対する総合的プロテクションが導入されたほか、パフォーマンスの向上や最適化を図る各種新機能によって、以前よりもさらに、意識せずに使える製品に仕上がった。

kis2014_メイン

しかし、このバージョンの中で最高の機能は、私たちが最も力を注いだ機能だ。未来の脅威から守る機能。卑劣なサイバー犯罪者にとっては大変残念なことだろうが、専門的で斬新な機能をいくつか製品に盛り込んだのだ(どれも他社の製品にはない機能であるはず)。タイムマシンを使ったわけではない。サイバー犯罪者の後をつけて、ジャック・バウアーのような尋問を行い、計画している犯罪を白状させたわけでもない。私たちは「儀式」を行って未来を覗き、サイバー世界の悪意ある開発ロジックを大まかに予測し、そのロジックを予防的プロテクションの新技術に取り入れたのだ。

未来の脅威に対する予防的な対策のなかでも特に強調したいのが、パワーアップしたぜい弱性攻撃ブロック法人向けソリューションの特殊技術を個人向け製品に応用したZETA シールド実行アプリケーションの制限、そして不正にスクリーンをブロックするソフトウェアに対抗するビルトインの機能だ。

さて、この夢のように素晴らしくきこえる機能の数々が、実際に日々のコンピューターウイルス対策にどう役立つのだろうか?まずは実行アプリケーションの制限から説明していこう。このような技術が個人向け製品に採用され、複合的なセキュリティを実現するのは世界初のことだ。

続きを読む:カスペルスキー インターネット セキュリティ 2014の新機能(その1)

ブートセクターの怪人

おまえを支配する私の力は
まだまだ強くなっていく

                                          アンドリュー・ロイド・ウェッバー – オペラ座の怪人

今も続くマルウェアとアンチマルウェア技術の戦いにおいて、何度も繰り返されている興味深いゲームがある。お城の王様ごっこというゲームだ。

ルールは至ってシンプル。勝った方が先に自分をコンピューターメモリにロードさせて、その「レベル」の支配権を握り、他のアプリケーションから身を守ることができる。そして、城の上から辺りを静かにくまなく見渡して、システム内の秩序を守るのだ(一方、悪意のある方が勝てば、人知れず、罰を受けることなく混沌を引き起こすことができる)。

要するに、勝者がすべてを手に入れるゲームだ。コンピューターを支配するわけだ。

起動プロセスにおいて主導権を握るためのアプリケーションのリストの最初にあるのは、ブートセクターだ。ブートセクターはディスク上の特別なセクションであり、何を、いつ、どこにロードするかという指示命令のすべてが格納されている。何より恐ろしいのは、オペレーティングシステムでさえそのリストに固執するということ。サイバー犯罪者が長い間、ブートセクターに不健全な興味を抱いてきたのにも頷ける。コンピューターが感染しているという事実を完全に隠しつつ先手を取るには、ブートセクターを悪用するのが一番だからだ。サイバー犯罪者がこのために使う特別なマルウェア、それがブートキットだ。

 

コンピューターのロードの仕組み

コンピューターのロードプロセス

この記事では、ブートキットとは何なのか、我々がどのようにブートキットからユーザーを守るのかを紹介する。 続きを読む:ブートセクターの怪人

ウイルスを根絶する「試験管」

まずはちょっとおさらいを。

100%保証されたプロテクションというものは存在しない。このことはもう十分おわかりだと思う。確かに、最も信頼性の高いアンチウイルス製品でさえ、高度な攻撃では迂回されることがある。この手の悪いニュースにはもううんざりだが、さらに悪いことに、二流のアンチウイルス製品は迂回されることがはるかに多いのだ。

高度な専門技術を持つ犯罪者は、その気になれば何でもハッキングできる。幸いなことに、そのような天才サイバー犯罪者はごくわずかで、サイバー攻撃の大半は、凡人レベルのプログラマーによって実行されている。彼らは欲に駆られて判断力を失ったのか、罪を犯しても逃げ切れると思っているようだ(笑ってしまうが)。このような無謀な犯罪者らは、最先端の強力なセキュリティを破れるだけのサイバー犯罪スキルを持っているわけではないが、まったく保護されていないコンピューターや、ザルのようなプロテクション製品がインストールされたコンピューターには難なく侵入できる。残念なことに、世界はそのようなコンピューターで溢れているのだ。

基本的な論理はとても単純だ。

当然ながら、プロテクションが強力であるほど、防御も強力になる。裏を返せば、高度な攻撃であるほど、強固な防御を破れるということだ。

今や25億人のインターネットユーザー標的がいるため、この論理を以下のように展開できる。

犯罪者は、わざわざ超強力な合い鍵を作って巨大な鉄壁の金庫を破る必要はない(そのような巨大金庫に保管されているのは、本当にゾッとするようなものや、変なもの、知らない方がいいような危険なものが多い・・・)。そんなものより、もっと現実的なところに侵入する方がずっと簡単で安上がりだ。たとえば近所のネットワークなんかは、守りがずっと手薄で、隠してあるものも簡単にわかる。

話が見えてきただろうか?一般的なハッカーには、わざわざ準備して高度な大規模攻撃を実行する理由はないのだ。また、攻撃の主な対象をWindowsからMacに切り替える意味もあまりない。面倒で頭を使うピンポイント攻撃ではなく、できるだけ多くの標的を攻撃する「じゅうたん爆撃」の方がはるかに効果的というわけだ。

プロテクションが強力であるほど、犯罪者の関心は薄れる。わざわざ強力なセキュリティを破ろうという気にはならず、他のもっと脆弱な標的を探すだけだ。

さてここで、サイバー犯罪者の攻撃から特に皆さんのコンピューターを遠ざける機能について説明する。犯罪者を、その機能が搭載されていない別のコンピューターを狙おうという気にさせるものだ。カスペルスキーのアンチウイルス製品の内部にある目を見張るような機能を紹介し、タスクバーに表示される「K」の文字がサイバー攻撃を撃退する仕組みについてもっと詳しく話すことにする。そう、将来の脅威からコンピューターを保護するエミュレーションだ。

emulator_alert_en

続きを読む:ウイルスを根絶する「試験管」

干し草の中から針を探す – Astraea のご紹介

オフィス内のとある場所に、厳重に防護された小さな大きな黒い本がある。その本には公式発表に使う、最新の Kaspersky Lab に関する正確な情報が載っている。従業員数やオフィスの場所と数、売上高などの、たくさんのデータだ。この本の中でいちばんよく使われるのは、1 日に検知される新たな悪意のあるプログラム、またの名をマルウェアの数だ。その増え方があまりに凄まじいので、これほどよく知れ渡るのだと思う。私自身でさえ、その勢いには驚かされる。1 年前には 1日あたり  70,000 ものマルウェアが、2012 年の 5 月には 125,000 になり、そして現在は 200,000 に達している!

適当なことを言ってからかっているのではない。我々は毎日毎日、これほど多くの悪意のあるプログラムを検知し、分析し、そしてプロテクション技術を開発しているのだ!

一体どのようにやっているのだろう?

続きを読む:干し草の中から針を探す – Astraea のご紹介

ホワイトリスト方式?ブラックリスト方式?

十数年前、サイバースペースのアンダーグラウンドはフーリガンのような思春期的お遊び(被害者にしてみれば遊びどころではないが)の世界だったが、今や国際的な組織的犯罪グループが国家の支援を受けて重要なインフラを標的にする、高度な APT (Advanced Persistent Threat)に取って代わった。すさまじい変身ぶりだ。
続きを読む:ホワイトリスト方式?ブラックリスト方式?