ランサムウェア対策などを強化 - 「カスペルスキー 2015 マルチプラットフォーム セキュリティ」発表会
カスペルスキーは、新バージョンとなる「カスペルスキー 2015 マルチプラットフォーム セキュリティ」を発表した。本稿では、都内で開かれた記者発表会における製品説明の内容をレポートする。
○IT上の脅威から世界を守る
最初に登壇したのは、代表取締役社長の川合林太郎氏である。
「Save the World」の実現のために、カスペルスキーが取り組む項目などを紹介した。単に製品の品質だけでなく、取締機関との協力により、サイバー犯罪を撲滅する活動なども紹介した。
かねてより、カスペルスキー製品は、高度な検知力などで定評が高かった。最近、国内では、オンラインの不正送金が猛威をふるっている。それに対し、カスペルスキーは、Effitasのオンライン取引の安全認定などでも好成績であったことが報告された。
また、今後のコンシューマ製品のロードマップとして、図4を披露した。
年内に、iOS向けのセキュリティブラウザ、来年にはパスワード管理ツールが予定されている。アカウントリスト攻撃などのように、ID・パスワードの使い回しによる被害も急増している。その意味では、順当ともいえる製品のリリースとなるだろう。
○カスペルスキー 2015の新機能・機能強化
次いで、製品本部プロダクトマーケティング部コンシューマープロダクトマーケティングマネージャーの井手さとみ氏が新機能などを紹介した(図5)。
まずは、Webカメラののぞき見防止機能である。いずれかのプログラムがWebカメラにアクセスを行うと、ポップアップ通知が行われる(図6)。
米国では、Webカメラを悪用した、私生活の暴露などが行われている。
こういった危険を防ぐことができる。もう1つの新機能は、無線LAN安全診断である(図7)。
公共施設などでは、無料で利用可能は無線LANのアクセスポイントが用意されていることが多くなった。その一方で、暗号化が十分でなかったりすることもある。具体的には、パスワードが平文で送られてしまうといったこともある。便利かもしれないが、実際に使用して大丈夫かは、外見からは判断できない。そんなときに自動的に判定してくれる機能である。
その他の強化機能として、以下がある。
システムウォッチャー(クリプトマルウェア対策)
未知のフィッシングサイトをコンテンツベースで検知
ネット決済保護(クリップボード内ののぞき見防止)
Mac/Androidに強固なプロテクション
ユーザービリティの向上(新ユーザーインターフェイス、図8)
さらなる高速化・最適化
また、販売形態も一新した。パッケージ版では、以下が提供される(価格はいずれも税込)。
1年1台4,860円
3年1台9,720円
1年5台6,080円
3年5台12,960円
ラインナップが、すっきりしたという印象である。また、従来あったファミリー版がなくなり、プレミアムライセンス版となった(ダウンロード販売のみ)。こちらは、同一世帯のメンバーの端末を台数問わず保護する。
1年プレミアライセンス6,980円
2年プレミアライセンス10,800円
3年プレミアライセンス13,800円
●クリプトマルウェアへの対策デモ
○クリプトマルウェアへの対策デモ
次いで、製品管理本部プロダクトマネージャーの保科貴大氏が、デモを行った。
身代金を要求するランサムウェアには、大きく分けて2種類ある。
デスクトップロッカー:画面などをロックし、PCを使用不能にする
クリプトマルウェア:ファイルを暗号化し、使用不能にする
従来は、デスクトップロッカータイプが多かった。
最近は、クリプトマルウェアが増えつつある。そして、クリプトマルウェアはこれまで以上にタチが悪い。デスクトップロッカーならば、駆除を行うことで、PCを元の状態に戻すことができた。しかし、クリプトマルウェアは、マルウェアを削除しても、暗号化されたファイルはそのままで使用不能な状態はそのまま残ってしまうからである。
デモは、このクリプトマルウェアの対策であった。暗号化されたファイルを元に戻すことは、暗号レベルも上がりほぼ不可能なレベルとなった。そこで、カスペルスキーでは、システムウォッチャーを使い、ファイルの変更を監視する。もし、ユーザーファイルの暗号化(つまり変更)が行われると、バックアップを行う。
その機能は、システムウォッチャーで確認できる。
[悪意あるソフトウェアによる変更のロールバック]が自動実行になっている。実際に、クリプトマルウェアによる暗号化は、図11のようになる。ファイルタイプが「DONE」となり、開くことができなくなる。さらに、同じフォルダにはhow to repear.txtというテキストファイルが作成される。その中には、ファイルを元に戻したければ、送金せよといった内容が書かれている。
しかし、多くの場合、送金しても意味はない。それどころか返信メールに新たなマルウェアが仕込まれている可能性すらある。
システムウォッチャーが動作していると、このような変更があった場合、バックアップを作成する。そして、そのアプリケーションが、マルウェアと判定された場合、自動的にロールバックする。ユーザーには、次のように保護プロセスの進捗が表示される。
このタイミングで、バックアップが作成される。さらにアプリケーションの分析が行われる。
まずは、クリプトマルウェアが削除される。
最終的に、このようにロールバックを行い、元の状態に戻すのである。当然であるが、カスペルスキーをインストール前に暗号化された場合には、元に戻すことはできない。
また、多くの場合、クリプトマルウェアをダウンロードした時点で、マルウェアとして駆除される可能性が高いだろう。もし、ゼロディ脆弱性などを悪用し、未知のクリプトマルウェアがカスペルスキーの防御を潜り抜けたとしても、暗号化されたファイルを元に戻すことが可能となる。
●最新の脅威動向と事例
○最新の脅威動向と事例
第2部として、国内の脅威動向などを情報セキュリティラボセキュリティリサーチャーの石丸傑氏が紹介した。
マルウェアの感染経路として、Web閲覧からが多いことを指摘した。一度の感染で、3から10のマルウェアがダウンロードされる。この中には、FlashやPDF Reader、Javaなどの脆弱性を悪用するものが含まれていることが多い。こうして脆弱性を悪用し、さらにダウンロードを行う。ダウンロードされるのは、金銭を狙うトロイの木馬であったり、ランサムウェアである。
最近の特徴の1つとして、1つのIPからは1回しかダウンロードできないような仕組みになっているもが多いとのことである。これはセキュリティ対策ベンダー対策と予想されるとのことだ。悪意を持った攻撃者も、虎の子のマルウェアを必死になって守っているのだろう。さらに、同じWebサイトでも、時間によってダウンロードするファイルが変化することがある。これは、従来のパターンファイルでの検知を難しくしている。
トロイの木馬やランサムウェア以外にも、ダウンロードされるものにパスワードスティーラがある。これは、その名の通り、FTPなどのIDやパスワードを狙うものである。その目的は、Webの改ざんである。上述のように、マルウェアをダウンロードさせるためには、所有者の目を盗み、仕掛けを仕込む必要がある。それには、FTPなどができなくてはいけない。そこで、ID・パスワードを狙うのである。
最近あった事例では、ブログ作成ツールの脆弱性を狙ったものがある。これは、検索サイトで特定の文字列を検索するだけで、ハッシュ化されたパスワードを表示してしまうものである。一般的には、ハッシュ化されたパスワードは、そのままでは不正アクセスには使えない。しかし、解析ツールなどを使うと、復号できてしまうこともある。こうして復号したパスワードには、「1234」や「8888」といった安易なパスワードが数多くあった。このような状況も、いまだに脅威が減らない原因の1つであろう。
こうして、パスワードを入手した攻撃者は、Webの改ざんを行い、マルウェアをダウンロードさせるサイトに変えてしまう。カスペルスキーでは、こういった方法で、3138のWebサイトが改ざんされたことを報告したとのことである。しかし、220ほどのWebサイトが現在でも、マルウェアの強制ダウンロードなどの活動を続けているとのことである。
石丸氏は、感染から、IDやパスワードなどの詐取、そしてWeb改ざんと、負の連鎖が継続していると指摘する。この連鎖が、2014年上半期だけで、18億5000万円もの不正送金被害をもたらしているのである。
提供:
