ホワイトリストのハードル

前回、「ホワイトリストは育てていくもの」と題して、ハミングヘッズ社のホワイトリスト型セキュリティソフト Defense Platform (DeP) について述べましたが、その最後の部分で述べた「API ホワイトリスト方式のとてつもないハードル」について、書きたいと思います。

ホワイトリストにもレベルがあり、DeP は上層のアプリケーションレベルだけでなく、 API レベルでのホワイトリストが可能である、と示しました。この方法こそが、巧妙なマルウェアをも本当に阻止できる、おそらく今日では唯一の方法だろうと考えます。

７年ほど前。ハミングヘッズ社と同時期に、同じ方式にチャレンジした米国の会社がありました。しかし、そのプロジェクトは途中で打ち切りになりました。気が遠くなるようなハードルがあったからです。しかも、２つも。

１つは、API レベルで監視することの開発量の膨大さです。アプリケーションレベルでのホワイトリスト化はさほど難しいものではありません。しかし API レベルでホワイトリストを作成するとなると、いったいどれだけの監視ルーチンを組み込む必要が生じるか。なおかつ、それらを組み合わせてジャッジできるアルゴリズムも必要になります。これは、比較的短期に結論を求められる米国の会社においては「理論上は理想的と言えても、現実的ではない」と判断されたのだと思います。

さらに、決定的に、この方法が困難な点は...　仮に製品化に成功したとしても、その後のメンテナンスのヘビーさです。なぜならば、API の仕様は OS なら OS の、メジャーなアプリならそのアプリのバージョンアップなどにおいて、修正、進化していきます。API ホワイトリストの場合、その変化に追随していかなければなりません。この作業をこなしていくにはいったい何人のエンジニアを投入する必要があるのか？これは決定的なネガティブ要素でした。

ところが、ハミングヘッズ社は、20年前から電力会社向けに「情報漏洩対策ソフト」を開発提供しており、その当時から、機能テストを自動化する仕組みを試みていました。そのノウハウを使い、API ホワイトリスト製品においても、API との整合性を常に自動評価するシステムを構築したのです。今日では計5,000台のマシン（仮想マシン含む）をグリッド構成し、１日に90万項目もの整合性評価テストを自動で行っているのです。

例えば Windows OS のマイナーアップデート、Google アプリのアップデートなど、何が起きても即座に自動評価し、必要に応じて Defense Platform もアップデートされます。そしてそれはリアルタイムにユーザ側にインストールされている実行モジュールに反映され、ゆえに、まったくつけ入るスキの無い体制を実現しています。

これが、「唯一無二の存在である理由」です。

旧来の「ウイルス定義型方式」から脱却して、時代に即した「ホワイトリスト方式」を広めるべく、無償版が配布されています。（無償版の制約は登録できるホワイトリスト項目が 1,000個までに限定されているだけで、あとはフル機能を使えます）

無償版は下記からダウンロードできます：
https://www.act2.com/dep

インストールして使い始めると、最初のころは、動きを止めるアラートが頻繁に出てきます。しかしいったんホワイトリストに登録してしまえば、次からは止めようとしません。ですから、しばらくの間は根気よく「ホワイトリストを、あなた仕様に、育てる、鍛える」ことです。使えば使うほど、精度の高いホワイトリストが出来上がっていきます。

最初は少しとまどうかもしれませんが、よく考えてみれば、これが正しいことがよくわかります。「実行しても良い行為だけを許可し、それ以外は実行させない」ゼロデイアタックを確実に止めるにはおそらくこれしかないでしょう。


さて、話はすこしそれますが、当然、仮想マシンでも使うことができます。
Mac で Windows を使っているユーザさんには特におすすめです。

「ホワイトリストに登録されている動作しか許可しない」
Windows を使う目的がはっきりしている場合には特に安心です。
OS のアップデートをするのが遅くなってもウイルスやサイバー攻撃の被害に会うことはありません。

現実の世の中も、実はホワイトリスト型で動いています。
ブラックリストと照らし合わせて来客を招き入れる会社などありませんよね。
エアラインのレセプションカウンタもブラックリストと照らし合わせて搭乗券を発行しませんよね。
すべて、「OKが出ているかどうか」で判断されています。
PCもまたそうあるべきでしょう。

コンピュータウイルスが初めて登場したころは「ブラックリスト方式」で良かったのです。しかし状況は変わっていきます。今は「ブラックリスト方式」では被害を止められない時代に、我々はいるのです。

20200211
- k

ホワイトリストは育てていくもの

ウイルス定義型のアンチウイルスソフトには、たぶん、もう未来はないだろう...

なにしろ、マイクロソフト社が「ウイルス駆除は Windows OS に搭載されている Windows Defender で十分。サードパーティ製のアンチウイルスは入れないでほしい」とまで公言してしまったのだから。

ただ、問題は残る。

Windows Defender もまた「ウイルス定義型のアンチウイルスソフト」であり、したがって、"ゼロデイアタック" には効力が無い。

コンピュータウイルスというものが登場した昔は、その方法でよかった。

しかし、毎日毎日、35万個の新しいコンピュータウイルスが誕生している今日、それらを解析し、ウイルス定義ファイルに追加し、配布し...

この方法では追いつけるわけがない。

日々新しいウイルス、攻撃が発生する中で、コンピュータを守るには、逆の発想、つまり「ホワイトリスト型」しか手がないと思われる。

ホワイトリスト型とは、「悪いものを見つけて止める」のではなく「正しいと定義されているもの以外はすべて止める」という方法だ。

これが基本的なエッセンスなのだが、問題もある。それは「ホワイトリストの精度」である。

我々がこれを発表した 2014 年当時は、「ホワイトリスト」という言葉さえまだ耳慣れないものだった。

しかし、昨今では、我々だけでなく、他社もこぞって「ホワイトリスト型」を唱い出した。

やっと... 「ホワイトリストとは何か」という啓蒙活動をしなくてもよいところへ近づいてきた。

やっと... 本来の性能の勝負を主張すべき時が来た。

一口に「ホワイトリスト」と言っても、各社、千差万別である。

が、ほとんどは、アプリケーションレベルでのホワイトリストでしかない。

単純な例を挙げれば、Outlook, Word, Excel, Chrome browser... というように、アプリケーションのホワイトリストを作成するタイプが多い。

しかし、昨今のマルウェア（ウイルス等）は巧妙だ。

それらのアプリケーションに "寄生して" 悪さをするマルウェアで溢れている。
アプリケーション層だけでのホワイトリストは彼らにとってはなんの驚異でもない。

我々が提供しているハミングヘッズ社のホワイトリスト製品（ディフェンスプラットフォーム）は、アプリケーション層だけでなく、さらに深いところ（API (Application Programming Interface)) にまで掘り下げてホワイトリスト化を実現している。

また、H4E と名付けらた機能が "コマンドレベルでの動作" を監視している。
時々、「それはふるまい検知ではないのか」と尋ねられることがあるが、H4E はふるまい検知ではない。そもそも、ふるまい検知自体がパターンマッチングではないか。

H4E は一種の AI と呼んだほうが正しい。とても特殊なアルゴリズムだ。

いずれにしても、

ひとつ、大切なことがある。それは、

「ホワイトリストは育てていくもの」「鍛えていくもの」ということである。

スタート時点で、完璧なホワイトリストを作成することは容易ではない。

ディフェンスプラットフォームの場合、検知モードというモードがあり、一定期間（例えば１週間とか２週間とか）履歴取得だけの活動をする。
その履歴からまずベースとなるホワイトリストを作成する。

そして、本稼働に入る。検知モードの期間内に実行されなかった正しいプロセスもアラートの対象になる。そうした場合、それをホワイトリストに追加してやる。

マルウェアなどは完全にアラート対象になる。今、この瞬間に発生して解析されていない段階であっても。なぜならそれはホワイトリストには登録されていないのだから。

いかにも怪しい動きはブラックリストに入れて永遠に葬ればいい。

マルウェア状況は日々刻々と変わっていく。
だから、終わりのない戦いなのかもしれない。

こうして、「ホワイトリストを育てる、鍛える」という考え方が必要だ。

もちろん、サーバのように、実行されるプロセスが確定していてそれ以外はあり得ないような場合は、ホワイトリストの完成もすばやい。

そう。サーバーにこそ、ホワイトリストを入れるべきだろう。

ディフェンスプラットフォームのビジネスエディションが最近よく売れるのは、こうした認識が徐々に広まりつつある証だと思う。

ところで、

この方法には１つ、とてつもなく大きなハードルがある。だから、競合製品が出てこない。

それについては、次回、記載したいと思います。

2020/02/09
- k
(EOF)

スマホの Wifi 設定、どうしていますか？

前のトピックで、CyberGhost （サイバーゴースト）を使えば、
暗号化されていない Free Wifi であっても、暗号化通信を要求するサイトにアクセスできることを書きました。

これで、Free Wifi でも安心して、目的のサイトに確実にアクセスできます。めでたし、めでたし。


ところで、

スマホの Wifi 設定、どうしていますか？

いちいち状況に応じて On/Off している人は少ないと思います。
たいていは、常時 Wifi On の人がほとんどだと思います。
外では、Free Fifi につながればラッキー、という感じですよね。
目的のサイトにアクセスできない時は、ま、しょうがない、と。

ですが、よく考えてみると、アブナイですよね。
WiFi On の設定になっていると、
スマホは勝手に Wifi ポイントを探していて、過去に接続したことのある Free Wifi ならば、勝手に接続します。
そして、使っていなくても、「ネットの無法地帯」につながってしまっています。

この状態は、とても危険です。
スマホやパソコンが勝手に操作されて、保存しているプライベートな写真や連絡先、URL、その他の書類などの個人情報がコピーされる、という危険性があります。

「Free Wifi 危険性」でググってみてください。ぞっとします。

さらに、公衆 Wifi でネットバンキングや買い物をするのは絶対にやめましょう。口座番号やパスワード、クレジットカード情報が、盗み見される危険があります。

Cyber Ghost（サイバーゴースト）のような VPN ツールを入れていない場合は、
外へ出たら、WiFi を Off にしましょう。これなら安全です。

(EOF)
- k

FREE WIFI だとアクセスできないイライラを解消！

昨日（2019/10/24）発表したのですが、Cyber Ghost（サイバーゴースト）社と提携し、同社の VPN サービスを始めることになりました！

メルマガでご覧頂いた方も多いと思います。

ことの始まりは、同社と接点ができ、日本市場にも積極的に参加したい、という相談を受けたのですが、私の最初の印象は、「技術的には素晴らしいし、面白いけれど、それと売れるかどうかは別物だよー」というところからでした。

私は最初はむしろ、後ろ向きだったのですが、一つ文字通り「ハッ！」とひらめいたことがありました。

それが画像でも表現している、Free Wifi に接続してもアクセスできないことが多いという昨今の状況です。この状況は Android よりも iPhone のほうが顕著で、iPhone の場合はそもそも接続してくれません。Aindroid は接続はされてもサイトにアクセスできない...

みなさんもきっと同じ思いをされていますよね？
私は特別な人間ではありませんし、ごく普通に通勤している人間です。そして通勤中や、打合せで外へ出た時など、何度も、何度も、この思いをさせらていました。

それで、「そうか、これ使えば、この問題を解決できる！」と思い至り、いっきに最優先プロジェクトになりました。

そうだ、iPhone で画面ショットを撮っていたので、それをいくつか掲載しますね。

これは、一番のイライラの原因だった「都営 Wifi」

すでに時間は４時間を超えていますが、これはオフィスでも VPN 状態のままにしていたためです。

これは、ある日の「フレッシュネスバーガ」さんの Free Wifi

これは自宅に帰着した段階での画面ショット。アンテナのアイコンの部分をよく見てください。もともと暗号化通信されている Wifi を使った場合は、アンテナのところに鍵マークが付きます。

もともと暗号化されている通信なら VPN は不要では？と思われますよね。確かに一理ありますが、Cyber Ghost を使っているとさらにいいことがあるんです。

それはまた次回に書きます。

今、手が離せないので。すみません。

あー、これだけ、「Free Wifi だと接続されているのにサイトにアクセスできない」理由だけサクッと書いておきます。それは、昨今は、アクセスされるサイト側が「暗号化された通信でないと受け付けない」傾向にあるためです。だから、アンテナを見るとつながっているのに、ぐるぐるアイコンでいつまでもサイトのコンテンツが出てこない、ということになるのです。

参考ページ：

https://act2ai.com/cyberghost_wifi

- k

(EOF)

私たちが act2download.com を公開した理由（ワケ）

随分と前の記事から時間が経ってしまいました。

時間が経ってしまったのは、実は Web サイトのリニューアルがあったからなのですが、今回のリニューアルについては、すでにお知らせで告知をしていますのでそちらをご覧いただければと思います。

【重要なお知らせ】Web サイトリニューアルのお知らせ

今回のブログは、このリニューアルの中でも act2 の野心的・実験的な取り組みである act2download.com の開設について、少し説明をしたいと思います。

日本年金機構の情報漏洩、DeP なら阻止できた

2015年6月1日に発生した日本年金機構における 125 万件超の情報漏えい事件...
まったく、お粗末な話だ...

私は今日、ハミングヘッズ社を訪れ、エンジニアに確認した。
「DeP が入っていれば（もちろん SeP ならなおのこと）、こんなことは起きないですよね？」

エンジニアは明確に答えてくれた。
「その通りです」


ニュースメディアにさまざまな記事が掲載されていた。

「新種のウイルスだったから...」

そんなことはすでに何年も前から、わかっていた話だ。
未知のウイルスに対してどう防御するのか、そこを徹底的に対策せずにきたツケが回ってきたのだ。そして被害を受けるのは我々国民だ...

こういう事件を、いつものように、エライ人が出てきて頭を下げて、それで終わり。
という、そんなことでよいものなのか？

今の情報社会では、セキュリティは最重要事項であり、ゆえに、さまざまな開発会社が存在し、智慧をしぼり、腱鞘炎になりながらも、対策に「命をかけて」いる。


ともあれ、

なぜ、いまだに「未知のウイルスだったから...」などという言い訳が通るのか？

あの Symantec の VIP が去年の５月に、従来の方法では 45% しか阻止できない、と公言しているのに。


なんとも、やるせない。


私はこのブログの中で以前にホワイトリスト型のことを記載したけれども、何度考えても、サイバー攻撃を食い止めるには、ホワイトリスト方式が最適なのは間違いない。

ただ、それを実現できる会社が少ないから、一般に浸透していないから、管理者層は採用する「智慧と勇気」がないのだ。


アメリカではすでに、そういうムードになってきている。
先日のサンフランシスコでの世界最大の IT セキュリティカンファレンス RSA 2015 でも旧来のセキュリティツールはまったく関心を集められず、ホワイトリスト型のブースに人だかりができていた。


ハミングヘッズ社は先日、DeP の無償版の配布を開始した。
タダなんだから、とりあえず、それを入れて、PC のフロントラインで防御しましょうよ。
ウイルスのスキャンはその後でマシンを使っていない時間帯にでも走らせておけばいい。


DeP が入っていれば、その未知のウイルスがファイルを開こうとしたタイミングで食い止めるし、開かずに送信しようとしてもやはり止められる。あの事件は止められたのだ...


日本も一日も早く「ホワイトリスト型セキュリティ」が当たり前になってほしいと、切に願うばかり。


これを読んでくださった方は、どうか、
http://www.shinobi-whitelist.com/index_j.html
から無償のホワイトリストをダウンロードしてインストールしてください。

- MK

6月3日の報道によると、日本年金機構の情報漏洩には４通の不審メールが要因だとされているが・・・
日本年金機構の情報漏洩について：その２

ネットバンキング：法人は被害にあっても補償されない

2015/03/04 の NHK の「クローズアップ現代」において、ネットバンキングにおけるサイバー犯罪が急増していることが報じられました。

【コラム】MacBook・MacBook Air・MacBook Pro のネットセキュリティを自動化しよう

MacBook Air・MacBook Pro には、とりあえず、「ネットバリア」をインストールしてください。

みなさんは MacBook Air・MacBook Pro のセキュリティ設定をどのようにされていますか？

【コラム】サイバーアタック… そもそも自分もその標的にされるのか？

サイバーアタックと一口で言っても、それを正確に説明できる人はどれくらいいるのでしょうか？私自身 100% 答えられる自信はありません。なぜなら、変化と進化が速すぎて、昨日の定義では今日は収まらいことが日常茶飯事だからです。

【緊急】iOS を襲う "マスク アタック"："MacLife" Leif Johnson 氏の記事から

iOS を襲う "マスク アタック"

この件は米国政府の発表から知ったのですが、
MacLife.com において Leif Johnson 氏が貴重な記事をアップされていますので、解説しておきます。

【速報】rootpipe が示した OS X の重大な脆弱性とその対策

以下は、Intego 社の Blog に掲載された Graham Cluley 氏の記事を参考に解説したものです。（原文の翻訳ではありません）

OS X の最新バージョンに重大な脆弱性が見つかりました。

【解説】ホワイトリスト型 のディフェンスを始めよう

DeP → デップ　と読みます。
正式名称は Defense Platform であり、その略称です。

【だれでもわかる】ホワイトリスト方式とは

DeP がホワイトリスト型のセキュリティツールであることは前回述べました。
ここで、「ホワイトリスト方式って、ようするに、どういうこと？」という素朴な疑問を解いておきましょう。

【解説】今までの常識を覆す Windows セキュリティのあり方（DeP 序章）

既成概念を覆す Windows セキュリティの実現方法なのです。

【コラム】ネットの危険は、つまるところ、どこにあるか？

あいかわらず、情報漏えいが止まらない。
先日の大企業の情報漏えい事件は、原因が実に “レガシー” で、なんとも、ため息しか出ない。システム管理部門は USB デバイスへの書出しをロックしていなかったのだろうか。この件はまた別の機会に・・・

仮想マシン（ パラレルスで起動している Windows ）のウイルス対策

今日のエントリーでは、「仮想マシンのウイルス対策」についてお話しましょう。

よく聞かれることの一つに、「仮想マシンは Mac の中の一つのファイルなんだから、どうして Mac のウイルス対策ソフトで検出・駆除できないのか？」というものがあります。

なぜ、それができないかというと、Mac OS には Windows OS の仕組みがわからないからなのです。それを言うと、さらにこう突っ込まれます。「Windows のファイル形式 FAT-16 や FAT-32 は認識できるじゃんか！」

しかし実はこれはお門違いな話で、ファイルフォーマットというのはデータを書き込んでいく番地システムのようなものですから、それは Mac OS にも理解できるわけです。ですから、FAT-16 で初期化されているハードディスクを Mac につなげばすぐに認識して使用できます。これは、Mac OS が FAT-16 というファイルの書き込み方を知っているからです。

ですから、仮想マシン自体のファイルをスキャンすることはできます。しかし、そこに書きこまれている意味をどのように解釈して判定すれば良いのかまでは Mac のウイルススキャンソフトには分かりません。

「Windows ウイルスも駆除できるって言うてるやんか！」という角度から、また攻められるのですが、MS Office のデータファイルのように明確にデータファイルとして存在するものはまだ判別しやすいのですが、Windows OS のシステム系のファイルになると、どこからがプログラムなのかさえ Mac のウイルスチェックソフトにはさっぱりわからないのです。

すると、どういうことが起きるのかというと、仮想マシンのファイルをスキャンすると、もしかすると何かのウイルスのプログラムコードと偶然に一致する部分があるかもしれません。しかし、それがウイルスプログラムであるという確証はどこにもないのです。

例えて言うなら、「道路は見えるけれど、標識を読めない」状態なのです。

「Windows ウイルスも駆除できる」というのは、Windows ウイルスが Mac 側に入った場合のことです。Mac のファイルシステムの中であれば、どこからが何なのかは判別できますから、ウイルスプログラムと合致するコードが見つかればそれはウイルスプログラムだと識別できるわけです。

Windows の仮想マシンには Windows 仮想マシン側でウイルス対策をする必要があるのはこうした理由があるためです。Microsoft 社は自らセキュリティツールとして Microsoft Windows Defender を無償で配布しています。

http://windows.microsoft.com/ja-jp/windows7/products/features/windows-defender

配布当初は普及速度がまだ遅かったのですが、最近は 30% 以上の Windows ユーザが利用しているという統計も出ています。だんだん根付いてきたわけですね。

最後に、やっかいなのは「ゼロデイアタック（0 Day Attack）」と呼ばれるものです。どちらかというと、ネットワークセキュリティ側のことですが、最近は区別がつきにくいので、ついでに書いておきます。

つまり、ワクチンが開発されて配布されるまでの間、無防備な空白の時間帯に攻撃される問題です。いかに早く新種のウイルスを発見し、いかに早くそのウイルスに対応した定義ファイルを公開できるか、そこがウイルス対策製品の優劣の分かれ目と言っても過言ではないのです。

そして、次回はいよいよ本題である「既成概念を覆す Windows セキュリティの実現方法」をご説明させていただきます！もちろん、あなたのパラレルスで起動中の Windows に最適な方法です。

（ MikiyaKato ）

Parallels で起動している Windows に最適なアンチウイルスアプリ「ディフェンスプラットフォーム」詳細・ご購入はこちら

【検証】今回の Intego はとにかく軽い、早い、トラブらないの三拍子。

Mac 専用にチューニングされている（= Windows版の単なる移植バージョンではない）ということで、最近注目を浴び始めた Intego ウイルスバリア・ネットバリア（Mac インターネットセキュリティ）。

【速報】Intego 新バージョン X8（Mac 専用に開発されたセキュリティツール）

Intego の Mac 専用セキュリティシリーズが一新され、X8 シリーズとなったので、さっそくインストールしてみた。

やはり、Mac 専用に開発されているだけあって、まず、ユーザーインターフェイスが心地よい。通常、セキュリティツールというものは、見ていても何もおもしろいことなど無い。そうした観点からすると、intego の製品は稀有な存在だ。

下の画面ショットのように、データのトランスファーの様子を常に表示しておくことができるが、Mac ライクなデザインのおかげで、うっとうしい感じがまったくしない。

従来通り、Finder メニューに組み込まれ、それぞれのツールに即アクセスできる。

このシリーズは、個人向けに、

• Mac Internet Security X8
• Mac Premium Bundle X8
• Family Protector
• Family Protector Secure X8
• Mac Washing Machine
• Mac Washing Machine Secure X8

そして企業向けに、

• Virus Barrier X8（ウイルスバリア）
• Net Barrier X8（ネットバリア）
• Virus Barrier iOS

などがラインアップされている。

昨今の Mac の企業や学校への進出は目覚ましいものがあり、そのニーズに応えた構成になっている。

今回は、ネットバリアの要点を紹介しておきます。

基本的に、利用場所を、自宅、職場、公衆無線LAN の３パターンに分け、それぞれに最適な設定がプリセットされています。

そして、使用場所が変わった時には、半透明のメッセージが画面右上に表示され、設定もその場所に合わせて自動的に変更されます。また、初めてのアクセスポイントに接続した場合にも、それを知らせる半透明のメッセージが、画面右上に表示されます。

セキュリティツールも一昔前のように、専門知識のある人にしか使いこなせない時代ではなく、だれもが当たり前のものとして使えるツールの時代だと思います。そして、それが今日の Intego が目指している方向性です。

Net 接続の危険性は増すばかりです。Mac だから大丈夫ということはあり得ません。自動的に増殖して手当たり次第に不正アクセスを試みるマルウェアは後を絶ちません。こうしている今も私の Mac にはさまざまなアクセスが試みられていることでしょう。泥棒が様子を伺っているようなもので、あまりいい気持ちはしませんよね。ですから、こうしたネットセキュリティツールを入れておくことを強くおすすめします。

「当たり前のものとしてだれでも使いこなせるネットセキュリティ」それが Net Barrier X8 です。あなたの Mac にもぜひ。

- MikiyaKato

補足：
インストール時に、下記の画面が表示され、従来のコンポーネントをまずアンインストールするべきなのか、迷うかもしれませんが、その必要はなく、インストールを選択してください。

intego X8 シリーズ トップページはこちら

今すぐ購入はこちら

法人の方のお問合せはこちら