【元記事をASCII.jpで読む】

 セキュリティ対策ソフトは多数の機能によって構成されており、ランサムウェアなどを含むマルウェア対策、プライバシー保護、フィッシングスパム対策、USBメモリーなどの利用制限など、その活躍の場は多岐にわたっている。

 中でも最も被害が深刻で、そして防御するのが難しいのが、巧妙化が進むサイバー攻撃だ。昔のように常駐・感染して周囲へ攻撃を繰り返すものであれば、検出エンジンとの照合やヒューリスティック機能によって発見でき、駆除もしやすい。厄介なのが、感染するだけで目立った活動をせず、潜伏し続けるタイプだ。

 このまま活動しなければ感染していないも同然なのだが、もちろんそんなことはない。外部から指令が届いたり、決められた時間になるといった条件を満たすと活動を開始し、別のマルウェアを感染させる、外部から操作できるバックドアを設置する、個人情報を持ち出す、仮想通貨の採掘ソフトを動かす、外部への攻撃を開始するといった害をもたらす。

 とくに外部から自由に操作できるようになってしまったPCは「ボット」と呼ばれ、所有者の意思や目的とは関係なく、好き放題使われてしまうことになる。

 こうなってしまうと単純にマルウェア感染という一点を防いでも意味は薄く、脆弱性の防御、怪しい通信遮断、感染ファイル検出の徹底、不審なプログラムの停止など、複数のセキュリティ機能による複合的防御が重要となるわけだ。

 「ESET」のセキュリティ対策ソフトが優れている点は、複合的な防御を実現するため、「バルナラビリティシールド」と「エクスプロイトブロッカー」「アドバンストヒューリスティック」「アドバンスメモリースキャナー」「ボットネットプロテクション」という5ステップにわたる多層防御機能を装備していること。とはいえ、実際にユーザーが自ら操作や設定をするスキャンアンチセフトなどの機能と違い、多層防御のそれぞれの機能がどんな役割を果たしているのか、その名称からだけでは分かりづらい。

 今回はこのうち、脆弱性型攻撃対策となる「バルナラビリティシールド」と「エクスプロイトブロッカー」、標的型攻撃対策の「ボットネットプロテクション」の3つの機能について解説していこう。

脆弱性型攻撃対策を担う2つの機能

 「バルナラビリティシールド」は、その名前の通り「Vulnerability」……つまり、脆弱性を狙った攻撃を検知する機能。通信を監視し、ネットワーク経由で行われるセキュリティホールを狙った攻撃をブロックしてくれるものだ。

 OSがもつサービスはもちろんのこと、JavaFlashブラウザーといったアプリケーションまでもが攻撃の対象となる。もし脆弱性があるのに放置しておくと、容易に侵入されてしまうわけだ。

 その一例を紹介しよう。

 比較的メジャーで影響が大きいものに、「Windows Server Message Block (SMB) v1」の脆弱性がある。これはWindowsファイル共有やプリンター共有で使用されるものだが、特別に細工されたメッセージを送ることで、任意のコードが実行できてしまうというものだ。これはランサムウェアや、仮想通貨の採掘ツールなどを送り込むことに悪用されている。

 もちろん、マイクロソフトが無策のままいるわけもなく、すでに2017年3月の段階でセキュリティ更新プログラムを配布しており、これを適用している人であれば被害に遭わないはずだ。

 にもかかわらず、この攻撃数は月日が経つにつれて増えてきており、今ではランサムウェアの大規模感染が起こった2年前以上の数になっているという。

マルウェア情報局「2019年5月 マルウェアレポート」より

 もちろんこれはあくまで攻撃数であって、実際に被害に遭っている数ではない。とはいえこれだけ攻撃数が多いということは、セキュリティ更新プログラムが適用されていないことが多く、狙いやすい脆弱性となっていると考える方が自然だろう。

 こういった脆弱性が残されたままという危険な状態から、少しでも安全になるよう守ってくれるのがESETの「バルナラビリティシールド」だ。

 もうひとつ、脆弱性型攻撃対策として用意されているのが「エクスプロイトブロッカー」だ。これは、例えばメールに添付されたファイルを開く、ウェブページを開く、PDFファイルを開くといった動作時に、任意のコードを実行されてしまうという脆弱性の悪用を防いでくれるものだ。

 取引先からの書類を装ってメールに添付されていたり、プログラムの更新だと偽ってファイルダウンロードさせるなど、その手段は幅広い。ファイルを開くアプリケーションすべてが最新に維持されている場合でも、未知の脆弱性や修正が間に合っていない脆弱性を使った攻撃(ゼロデイ攻撃)を受けてしまえば、被害に遭う可能性が出てしまう。それだけに、これらの攻撃を検知・ブロックできるエクスプロイトブロッカーの存在はありがたい。

標的型攻撃防御の「ボットネットプロテクション」

 PCに感染したボットネットマルウェアは特殊なサーバーC&Cサーバー)へとアクセスし、C&Cサーバーから発せられる外部から指令を受けて、PCを勝手に操作するようになる。このC&Cサーバーからの通信を検出・ブロックしてくれるのが「ボットネットプロテクション」だ。ボットネットが使用する悪意のある通信を検出すると同時に、問題を起こすプロセスを特定。検出された悪意のある通信はブロックされ、ユーザーに通知される。

 ボット化してしまうと、個人情報を盗まれてしまうといった個人的な被害だけでなく、マルウェア不特定多数に送信する、DDoS攻撃に使われる、迷惑メールの大量送信、踏み台にされるなど、他人への攻撃に駆り出されてしまう可能性すらある。それだけに、感染後でも被害を最小限に食い止められるボットネットプロテクションは、重要な機能だといえるだろう。

 なお、ネットワーク経由で外部から操作できるようになったPCなどが「ボット」と呼ばれる。このボットを複数集めてネットワーク化したものが「ボットネット」だ。攻撃者はボット1台ずつに指令を送る必要はなく、C&Cサーバーアクセスして操作することで、ボットすべてを操ることができる。数万、数十万のボットを集められれば、簡単な命令ひとつでターゲットサーバーを大規模攻撃する……なんてこともできてしまうわけだ。

多層防御機能で新種のウイルスや攻撃から守る

 マルウェアの感染を防いだり、アプリケーション脆弱性を監視するといった機能ひとつひとつも大切だが、これらを多層的に活用し、より効果的なセキュリティ対策を実施できるというのがESETの強みといえるだろう。

 なお、多層のセキュリティ機能を搭載しているからといっても万能ではなく、脆弱性が残っている限り、監視の目をすり抜け攻撃を受けてしまう可能性はゼロではない。ESETがあるから大丈夫だと過信せず、まずは一刻も早く根本的な対策、つまり、OSやアプリケーションセキュリティ更新を行うことが大切だ。

 そのうえで、見逃していたセキュリティホールや未知の脅威にも対抗できるよう「ESET インターネット セキュリティ」をインストールしておけば、より安心して使えるようになる。

(提供:キヤノンマーケティングジャパン

名前を聞いただけではわからないESET謎機能の正体