※ 本ブログは、2019年7月17日にBromium BlogポストされたWe Spend Billions on Information Security, So Why do Companies Continue to get Owned?の日本語訳です。

2013年、米国サイバー司令部のキース・アレキサンダー将軍は、サイバーセキュリティ会議で警鐘を鳴らし、企業や政府機関にサイバー攻撃の脅威が増大していることを警告しました。彼は、数十億ドルの知的財産が国から流出していることを「歴史上最大の富の移転」と呼び、我々が何かをしない限り、その結果は悪化するだけだと警告しました。「この言葉を覚えておいてください」と彼は続けました。「事態は悪くなる一方です。我が国への破壊的で破滅的な攻撃はさらに悪化しています。もし何もしなければ、知的財産の盗難はさらに悪化するでしょう」

6年後、アレクサンダー将軍の警告はこれまで以上に真実味を帯びています。毎年何千社もの企業がハッキングを受け、何億もの機密記録が漏洩し、数百万もの企業が修復や復旧に数百万もの費用を費やしています。Cybersecurity Venturesによると、サイバー犯罪の被害額は2021年までに年間6兆ドルに増加すると予想されており、2015年の3兆ドルから倍増しています。

では、その対策はどうなっているのでしょうか？皮肉なことに、攻撃の件数や深刻度が増加し続けるにつれ、企業や政府がサイバーセキュリティに費やす金額も増加しています。Gartnerの新しい調査によると、情報セキュリティへの支出は2019年末までに1240億ドルを超えると予測されています。そしてまだ、検知に数十億ドルが費やされているにもかかわらず、歴史上最大の経済的富の移転は続いています。私たちにはもっと良い方法があります。

この問題に、より多くの資金やリソースを投入するだけでは、危機を解決できないことは明らかです。今こそ企業は、セキュリティに対するアプローチを根本的に見直し、現在のツールが未だに保護できていない理由を探り、コンプライアンスや検知にとどまらず、攻撃者に戦略的に先んじる革新的な保護ソリューションに投資すべき時なのです。

今日のマルウェア攻撃のほとんどは、国が支援するハッキンググループや高度に組織化された犯罪組織によって作成された、洗練された攻撃や標的型攻撃ではありません。多くの場合、ハッキングサービスやダークネット上ですぐに利用できるコンポーネントを利用して、小心者の犯罪者が日和見的に仕組んだものです。しかし、これらの攻撃は成功し続けています。アンチウイルスやその他のマルウェア検出ツールが「既知の」脅威として認識しないように、常にシグネチャを変化させながら多形化すること検知ベースの防御を突破し、むしろ容易に侵入しています。

もっと証拠が必要でしょうか？2018年5月のSecurity Weekの記事によると、98%以上ものマルウェアが検出を回避するための迂回技術を使用していることが示唆されていますが、これは他の調査でも裏付けられています。パターンマッチング・シグネチャベースの検出ツールは、このようなポリモーフィックな脅威に対しては無力であることが多く、ペイロードを取り出さない限り、それらを特定することができません。また、シマンテックの上級幹部が「アンチウイルスは死んだ」と宣言し、シグネチャベースのAVはサイバー攻撃の約45%しか検知できないと認めてから5年以上が経過しています。AIベースの自動エンドポイント検知ツールは人気を集めていますが、最先端のAIベースの検知ツールでさえ、ポリモーフィックなマルウェアの作成者にはまだ追いつけていないのが実情です。

AIセキュリティベンダーがマルウェアについて学習するにつれ、マルウェアは検知方法を学習し、さらにスマートな偽装や突然変異を用いて最新の手法に適応していきます。最近ランサムウェアが「新しい」という理由で次世代アンチウイルスツールをすり抜け、既知のサンプルと照合できなかったためにボルチモアやノースカロライナ州グリーンビルを含む多くの都市が被害に遭っています。発生の数週間後でさえ、ボルチモアはまだランサムウェアの魔手からコンピュータを解放するのに苦労しており、重要な市のサービスと運営を完全に復元するには何ヶ月も何百万ドルもかかるかもしれません。

企業のセキュリティチームの間で最もイライラする問題の1つは、アラート疲れです。従来のセキュリティツールでは多くの誤検知が発生するため、調査しようとすると、最も深刻そうなものでさえSOCチームの一日の多くの時間が費やされてしまいます。Bromiumでは、検知に頼っていません。Bromium Controllerによって生成されるアラートは、まさに真正な正規のマルウェア攻撃です。マルウェアが検知ツールや階層的防御を通過しても、Bromiumエンジンにたどり着くことができたという事実は、それが真の脅威であり、調査する価値があることを示唆しています。しかしながら、何よりも第一に、ブロミウムは保護を目的としています。当社の検知機能と脅威の遠隔測定は、組織全体のセキュリティ体制を改善するための優れた方法ですが、当社の主な目標は、マルウェアがどれだけ新しいものであっても、まれなものであっても、高度なものであっても、ポリモーフィックなものであっても、エンドポイントとネットワークは完全に安全であるという安心感をお客様に提供することです。

Bromiumのハードウェアで強制された封じ込め技術は、使い捨ての仮想マシン内で各タスクを隔離します。Bromium Secure Platformは、ユーザーがWord文書を開く、リンクをクリックする、Webページを開くといった特定のタスクを実行する際に、各コンテナ内で実行されるべきプロセスを正確に把握しています。マルウェアが存在する場合、Bromiumは仮想マシンの保護された空間内で完全に実行されるようにします。自己完結型の安全なコンテナの中からマルウェアが逃げ出す危険性はなく、エンドポイントに感染したり、ネットワーク上で横展開して拡散する可能性もありません。

また、Bromiumは各タスク固有のコンテナ内で実行されるべきプロセスを正確に把握しているため、何か問題が発生したときに容易に知ることができます。Word文書が突然コマンド＆コントロールセンターへの接続を確立しようとしている場合、それはBromium Controllerが「フライトレコーダー」をオンにするためのサインです。マルウェアが存在することを検知できるだけでなく、それがどこから来たのか、どのようなペイロードを運んでいたのか、どのようにしてそれを落とすつもりだったのかを知ることができます。実際、私たちはリアルタイムで完全な攻撃のキルチェーンを生成します。このように、Bromiumは「検知」企業ではありませんが、世界で最も先進的で詳細な脅威の遠隔測定を提供し、セキュリティコミュニティが直面している脅威をよりよく理解するのを支援しています。

ハッキングされた企業、自治体、政府機関の中には、身代金の支払いを拒否し、ネットワークやデータが侵害されたという事実を公に発表する場合もありますが、多くの場合攻撃者に静かに支払いを行い、何事もなかったかのように業務を遂行することが好まれます。そのため、Bromiumが最初にThreat Forwarding機能を開始したとき、当社のエンジニアでさえ懐疑的でした。

誰が自分のマルウェアサンプルを公然と（匿名ではありますが）共有したいと思うでしょうか？驚くべきことに、半数以上のお客様が、個別に検出された脅威の詳細を共有することに即座に同意し、Bromiumのアナリストは他では得られない豊富な詳細情報を得ることができました。検出ベースのツールによってフラグが立てられたマルウェアは、完全に起動してその秘密を明らかにすることはできません。しかし、Bromiumはマルウェアを安全なコンテナ内で完全に再生させるので、完全なキルチェーン分析を収集することができます。Bromiumが収集した脅威の遠隔測定情報は、AIをベースとした自動化された技術とBromium Labsの脅威研究チームによる組み合わせを利用してさらに充実し分析されます。その後、分析結果をお客様と共有しBromiumで保護されていないデバイスであっても、防御力を向上させることができます。

Bromiumのグローバルな民間部門や州政府、連邦政府の双方における重要で成長している顧客ベースは、アプリケーション隔離の動きが勢いを増していることを示しています。検知ツールはますます賢くなっていますが、全ての脅威からお客様を守ることはできません。また、「ドライブバイ」攻撃の増加と安価なハッキングツールが簡単に入手できることを考えると、些細なものを社内に入れるだけで悲惨な結果を招く可能性があります。

これに加えて、偽陽性を追いかけるのに必要な時間、脆弱性が特定された後の緊急パッチやアップグレードの必要性、セキュリティチームの疲労の増大などが加わり、現在のセキュリティに対するアプローチを変える必要があることは明らかです。より多くの組織が検知前の保護を選択するようになっています。Bromiumは、隔離ベースのセキュリティのパイオニアであり、市場のリーダーであり、実証済みの実績と急速に成長している顧客基盤を持っています。Bromium.comをご覧になるか、技術ブログを購読して、Bromiumが他の防御を迂回する脅威からどのように組織を守ることができるかをご自身の目で確かめてください。

Author : Gregory Webb

監訳：日本HP