Traps マルウェア防御機能概要

tmuroi · ‎07-03-2017

Trapsは様々なマルウェア防御技術によって、マルウェア感染を阻止することができます。感染前の検知／阻止機能のみならず、マルウェアのふるまいでの検知や、感染後に検知する機能も合わせて実装しています。

Trapsは今までのウイルス対策製品が利用する日々のパターンファイル配信の仕組みを利用せず、世界最大級の脅威インテリジェンスサービス WildFireと連携して最新の防御を実現します。

検体収集から解析、脅威情報を世界中で共有するプロセスを全てクラウド上で自動化することにより、運用性を非常に高めたマルウェア対策を実現します。

Trapsの主なマルウェア防御機能は下記となります。

※エクスプロイト防御機能やResponse機能（ネットワーク隔離など）、運用管理機能などについては別途記事を参照ください。

WildFire 脅威インテリジェンス
リアルタイムにクラウド上で更新される既知マルウェアのデータベースを利用
（WildFireを利用する26,000社を超える、いずれか1社でも未知検体が発見された5分後には攻撃を阻止）
機械学習／静的解析エンジン
クライアントPC上に搭載された静的解析エンジンを利用して、ファイルの特徴から未知ファイルを実行前に阻止
ローカル上にエンジンとモデル情報を所有しているため、ネットワーク通信は不要でオフライン状態でも判定が可能
Behavior Threat Protection
複雑なアプリケーションの一連の挙動を監視して、マルウェア攻撃を判断して動作を阻止。検知した際には一連の挙動を記録し、感染時の調査に必要な情報も確認できます。
マクロ
マクロ部分のみを抽出し、WildFireでの検索に加え、機械学習（AI）を利用した静的解析エンジンによりマクロ実行前に阻止
スクリプト
PowerShellなどから悪意のあるコード（特定の引数など）呼び出しなどを阻止することにより、ファイルレスマルウェアなどの対策も実現します。
子プロセス制御
不正な子プロセスの呼び出しを呼び出す前に検知して阻止（例：Webブラウザプロセスが直接Powershellを呼び出すようなマルウェア特有の振る舞い）
パスワード取得防止
Mimikatzなどのパスワードを取得するふるまいを検知して阻止
ランダムウェア対策

マルウェアがPC侵入後の機能として、おとりファイルを利用し、ランサムウェア暗号化が開始された場合でも、

おとりファイルの暗号化を検知して処理を停止させることにより、データを保護して実害を無くすランサムウェアに特化した機能の実装
WildFire クラウド解析

未知の検体に関しては、機械学習／静的解析と同時に、実際に検体を
・ベアメタル解析
・動的解析（サンドボックス）
・機械学習

・静的解析

を行い、高精度の解析をクラウド上で実施し既知情報として利用し、
解析結果は管理コンソール上で確認することができます。
万が一、判定が疑わしい場合があっても、管理コンソール上から理由を添えて再解析依頼が行えます。
定期スキャン／オンデマンドスキャン

ディスクのスキャンにより、休止状態のマルウェアの検出に対応。また、スキャン時に未知ファイルが存在した場合には、WildFireのクラウド上で検体解析が自動的に行なわれます。この仕組みにより、機械学習の課題である、マルウェアに特徴が似た独自アプリケーションなどの過検知リスクを大幅に低減します。
POST DETECTION（実行後検知）

Trapsエージェントが実行したファイルを全てハッシュ値ベースで管理サーバ上で管理しています。管理サーバは常にWildFireと連携を行い、実行したファイルが後追いでマルウェアと判定された場合に検知する仕組みを備えています。この仕組みにより、感染後の対処も速やかに行うことができます。

※上記1、9のWildFireでの連携機能以外の全ての機能はオフライン状態で動作するため、インターネットに接続されていない環境においても、既知／未知のマルウェア攻撃から高度な保護を実現します。