FireEye！！！トラフィックキャプチャ、サンドボックス分析、その他で判断。

「ファイアウォールなど従来型のセキュリティソリューションのほとんどは、シグネチャ(不正アクセスや攻撃の特徴をパターン化した、ウイルスコードごとにユニークな文字列)から脅威を検知するもので、これでは既知の脅威しか防ぐことはできない」とラスティンさん。いま、この瞬間に誕生したマルウェアなどの未知の脅威については、シグネチャファイルがないので従来型の検知システムでは防ぎようがないとのこと。
ではシグネチャに依存しないセキュリティをFireEyeはどのように実現するのでしょうか。たとえばメールの添付Excelに未知のマルウェアが仕込まれていた場合、受信者が見る前にどうやって防ぐのか。そのカギはシグネチャレスの「Virtual Executionエンジン」にあるとのこと。わずかでも疑わしいトラフィックをキャプチャする(フェーズ1)と、エンジン内の仮想ターゲット分析環境(仮想サンドボックス)で透過的に分析を行います。マルウェアの根城であるC&Cサーバとの通信からトレースファイルやシグネチャプロファイル、感染プロセスを分析し、クロと判定した場合は即刻ブロック、検知からブロックまでの時間はわずか数秒だそうです。マルウェアのデータは同社が提供する「Malware Protection Cloud」を通し、リアルタイムに情報共有が行われます。
「ほとんどのセキュリティベンダが対応しているのはWeb経由の侵入だけで、メールやファイル共有までカバーしている製品はFireEyeだけ。また、一部のベンダが提供しているクラウドベースのサンドボックスで解析できるのはファイルのみで、最初の侵入プロセスや感染後のプロセスは考慮されていない」とラスティンさん。

盗って盗って盗りまくれ! - 2013年、ニッポンのITセキュリティは中国とどう向き合うのか (1/3)：EnterpriseZine（エンタープライズジン）

ここ重要

ちなみに米国は、自動車のほか戦闘機などの防衛産業、原子力プラント、エネルギー、半導体、製薬、化学などの分野で、この部分的にちょっとずつ盗まれて最後に大物が中国市場で登場するという苦い経験を何度もしているため、政府も企業も、自社だけでなく関連会社のセキュリティに対しても非常にセンシティブです。「They Stole Every Pieces. - 何年もかけて開発した空母のデータを少しずつ、そしてすべて盗まれた経験をもつ米国政府は中国に対し、奴らは何でも盗むという認識が骨の髄まで染み込んでいる」(ラスティンさん)という強烈な危機意識をもつ米国にとっては、「中国に侵入されたという事実だけで十分に、場合によっては国家にとっての脅威になります。「なぜこんなデータを盗むのか?」という推測している場合ではないのです。

盗って盗って盗りまくれ! - 2013年、ニッポンのITセキュリティは中国とどう向き合うのか (2/3)：EnterpriseZine（エンタープライズジン）

米国以外では、最近、ドイツのフォルクスワーゲンが中国に最新モデルのデザインを盗まれたと訴えて話題になりましたが、それも中国にとっては"部分的な盗み"を繰り返した結晶です。また現在、中国は人口増による食糧危機に備え、トウモロコシの生産を拡大しようとしています。そのため、早く育つタネや化学肥料、殺虫剤などの情報を世界中の関連企業から盗もうとしています。ちなみに中国ではハッキングの授業を行う大学もあり、ここまで来るともう国策に近いですね。早く育つトウモロコシのタネと同じくらい、新しくて強力なマルウェアを必要としていることがよくわかります。

盗って盗って盗りまくれ! - 2013年、ニッポンのITセキュリティは中国とどう向き合うのか (2/3)：EnterpriseZine（エンタープライズジン）

信頼されるようにならないとね。

日本企業に対するアドバイスとしては
・セキュリティの専門家を社内に抱える、または信頼できるセキュリティのパートナーとの協力関係を築く
・横断的なセキュリティを意識し、脅威や攻撃の相関関係を把握する。自社だけでなく、関連会社や業者のセキュリティにも注意する
・CEO、CFO、CMOなどのエグゼクティブは狙われているという意識を強くもつ。とくに最近はCFOと人事部長がターゲットになりやすい
などを挙げてくれました。人事部長がターゲットになるというのは、採用応募のメールに添付されたExcelやWordにマルウェアが仕込まれており、ファイルを開いてすぐ感染し、被害が拡大するケースが後を絶たないそうです。

盗って盗って盗りまくれ! - 2013年、ニッポンのITセキュリティは中国とどう向き合うのか (3/3)：EnterpriseZine（エンタープライズジン）