OSレベルのソリューションでは適切に対応できない

最近見つかった脆弱性「Meltdown」と「Spectre」は、オペレーティング・システム(OS)やその上で動作するアプリケーションではなくCPUの欠陥に根ざしています(これらの脆弱性の仕組みについてはこちらを参照)。

OSが関わらない脆弱性については、従来型のサンドボックスなどOSレベルで監視を行うソリューションを適用しても攻撃を検出できません。

これらの脆弱性を突いた攻撃を正確に識別して、影響を抑えるには、もっと低い階層でのフレームワークが必要となります。

SpectreとMeltdownにはCPUレベルのフレームワークで対応

CPUレベルのフレームワークは、SandBlastファミリの高度な脅威対策技術に3年前に導入されました。このフレームワークを使用すると、システムの最下層(CPU)での実行状況が可視化されるため、実行フローの監視と識別が可能となるほか、回避能力を備えた攻撃への対策も提供され、通常の実行状況からの逸脱を検出することができます。このような手法により、ソフトウェアの脆弱性を狙った最も高度なエクスプロイトについても検出が可能です。

チェック・ポイントのリサーチ・チームは脆弱性の公表から数時間という短期間に、SpectreとMeltdownを狙った攻撃をこのフレームワークで識別できることを実証しました。特定の低レベルの主要パラメータを実行時に調べることで、通常どおり実行されたコードと投機的実行を悪用しようとしたコードを明確に区別することができます。

チェック・ポイントの調査結果の詳細については、技術系のブログ記事をご覧ください。

新しい波

メモリ・コンポーネントを悪用したRowhammerもそうですが、今はハードウェアの脆弱性を狙った攻撃の新しい波が起きています。

この新しい波の到来を受けて、セキュリティ・ベンダーにはより深いレベルの可視化と制御機能が求められるようになりました。SpectreやMeltdownの脆弱性を突く際には幾度となく攻撃を仕掛ける必要がありますが、そうした試みが行われている兆候を検出するには、CPUレベルでの監視と保護が必要になります。

CPUと投機的実行を悪用する方法は他にも存在すると考えられ、同じコンセプトに基づく攻撃は新たに出現する可能性があります。また、根本的な解決はハードウェア・レベルでのみ可能であり、市場のほとんどが完全に保護されるようになるまで数年はかかる見込みです。

企業で攻撃を防ぐためには、プロアクティブな保護機能と(高度にカモフラージュされた脅威の検出を可能にする)CPUレベルの最先端のエクスプロイト検出機能を組み合わせた多層防御戦略を導入する必要があります。一般ユーザの場合はOSレベルで最新のアップデートを適用するだけでなく、ハードウェア・ベンダーが提供するパッチの適用も必要です。

Threat Emulationを搭載したCheck Point SandBlast Zero-Day Protectionソリューションを導入すると、新種のマルウェアや標的型攻撃による被害を防止できます。

注:上記の概要は脆弱性「Spectre」と「Meltdown」の仕組みを大まかに説明したものです。詳細については技術系のブログ記事をご覧ください。