インテリジェント ウェイブ、メモリー空間の配置を毎回ランダマイズして攻撃を無効化するエンドポイントセキュリティ対策製品を発売
- 2018/10/29 10:00
- SecurityInsight
インテリジェント ウェイブは10月25日、イスラエルのMorphisec社とエンドポイントセキュリティ対策製品「Morphisec」の国内販売契約を締結し、販売を開始することを発表した。
「Morphisec」は、マルウェアが悪用するOSやアプリケーションのメモリーアドレスをプロセス生成ごとに変化させることで、マルウェアや脆弱性を悪用するコードの実行を不可能にし、未知の攻撃やゼロデイ攻撃、ファイルレスマルウェア、プロセスの空洞化など、高度な攻撃を実行不可能にする。
シグネチャーベース、振る舞い検知、AIなどの防御製品とまったく異なった技術を用いているため、過去の対策手法に依存しない。従来の製品は、攻撃動作の実行を見つける反応型検知であり、本質的に攻撃者優位(後追い)だが、Morphisecは攻撃目標(脆弱性、dll、アプリのメモリー空間)を変化させることで、マルウェアの実行ができなくするもので、防御者優位のソリューションとなっている。
■「Morphisec」の特徴
1.Moving Target Defense(MTD)
これはアプリケーションが起動するたびにローディングするメモリーアドレスを毎回ランダマイズすることにより、攻撃を防御するのではなく攻撃を成立させなくする技術で、Morphisecの中核技術。シグネチャー更新が不要であるため、オフラインでも問題なく動作する。
2.追加設定・更新が原則不要
企業の導入・展開では、一度インストールすれば、後は何もする必要がない。またアプリケーションがメモリーにロードされる瞬間だけアクティブとなるサービスであるため、以下のような特徴がある。
・インストール後の再起動必要なし
・シグネチャー更新が不要のためオフライン環境でも問題なく動作
・追加の設定項目なし
・DB、シグネチャーのためのキャッシュメモリー不要
・アプリケーションへの依存なし
・誤検知がほとんどない
・インジェクション対象が少ないため競合が発生しにくい
・CPU・メモリー負荷が非常に低い
・ネットワーク負荷がない
3.管理サーバー未接続でも防御が可能
端末単体で保護が完結するため、独立したネットワーク環境(Morphisec管理サーバーと未接続)での利用も可能。オフィス環境のWindowsサーバーやPCだけでなく、社外持ち出し端末(ノートPC)やメモリーリソースの乏しい端末、工場の制御系PC、ATM、POS端末、など非常に広範な用途が想定される。
4.ASLR(Address Space Layout Randomization)との相違
重要なデータ領域の位置をランダムに配置することで「脆弱性を悪用した不正なコードの実行を難しくする」セキュリティ機能としてWindows Vista以降、Windowsに標準搭載されてきたASLRは、Morphisecとは大きく異なる。ASLRのアドレスランダマイズ基数更新は、OS起動のタイミングで変更するのみでブルートフォースに弱く、2017年には脆弱性が発見され米セキュリティ研究機関から注意喚起がなされるなど、利用には注意が必要となるだけでなく、攻撃防御では不完全。