次世代「Norton」を強化する「SONAR 4」の新機能：進化するビヘイビア技術（2/2 ページ）

[小林哲雄，ITmedia]

新機能2、「ポリシーロックダウン」

バッファオーバーフロー攻撃は古典的ながら根絶が難しい。ぜい弱性があってもアプリケーションやシステムDLLを簡単に削除するわけにはいかないからだ

　新機能の2番目はビヘイビアに基づくポリシーロックダウン（機能制限）だ。これによって有用なプロセス（本来問題のないプログラムにぜい弱性があったり、有用なDLLに寄生するマルウェアソフト）に対して、プログラムの削除・検疫をせず、機能の一部を止めることで対処する。

　例えば、Adobe ReaderやMS Office、一太郎などの一般的なアプリケーションに、特定のデータを読ませることでぜい弱性を引き出すシチュエーションを考えてみよう。最近、一太郎にバッファオーバーフローのぜい弱性が発見されたが、こうしたぜい弱性がある場合、細工を施したデータのファイルを開かせることで、任意のプログラムを実行してしまう可能性がある。このときSONARは、異常動作の原因はデータに埋め込まれているもかかわらず、アプリケーションそのものの問題として判断してしまう。

　しかし、このようなアプリケーションソフトやOS必須のDLLに寄生しているマルウェアを削除・検疫するのはやや問題がある（OS必須のDLLを削除すると、起動すらできなくなる可能性がある）。そこでSONAR 4では、アプリケーションの一部の動作を阻止することで、被害を最小限に抑えることができるようになった。ふるまいベースの判断なので、未知の問題点、いわゆるゼロデイ攻撃にも有用に働くとしており、ユーザーにはポップアップで警告するという。

新機能3、「不正DLLのふるまい検知」

SONAR 4では不正DLLのふるまい検知が可能になった。「今までダメだったんです」と告白されてリアクションに困ったというのが正直なところではある

　もう1つ、SONAR 4ではDLLで動作するマルウェアの検知も可能になったという。従来のSONARはプロセス単位でマルウェアかどうかを判断していたため、こうしたケースには対応できなかった。例えば、IEのBHO（Browser Helper Object）としてマルウェアが埋め込まれた場合、SONAR 3までは検知できなかったが、SONAR 4ではこのようなDLLのふるまいの検知ができるようになっている。

　最後に、ビヘイビア技術で問題となる誤検知についても触れておこう。ビヘイビア技術は未知のマルウェアも発見できる半面、誤検知（偽陽性）も無視できない。初代SONARのプレスリリースでは、偽陽性が0.0004％とうたってはいるが、現実問題としてビヘイビアの誤検知が問題になるケースもある。

　また、コンシューマー向けのNorton製品はともかく、企業向けエンドポイントセキュリティ製品「Symantec Endpoint Protection」では、最新版（SEP12）になってSONARとInsightが組み込まれた。となると、社内利用のソフトウェアでSONARが偽陽性を出す可能性も考えられる。ということで「SONAR 4は過去のバージョンと比較して偽陽性に対してどれだけ改善されたのか」を聞いてみた。

　これに対してペレイラ氏は、「SONARの偽陽性検知に関しては当時と状況が違うので単純比較はできない」と直接の回答を避けた一方で、「SEP12に関しては（仮に業務アプリケーションがSONARに反応しても）企業内管理者がホワイトリスト化することでチェックを逃れることができる」と説明。企業管理者なら対処可能であり、さらに「Level3のコード署名があれば、Symantec側でも対処可能」と、ソフトウェア企業に関しては偽陽性に対応可能であると回答してくれた（ちなみに、NIS2012のSONARの設定は「常時／確実性が高い場合のみ／確認」と、以前の「オン／オフ」から設定範囲が広がっている）。以前のように、SONARを有効にするとあやしい挙動をするプログラムが問答無用で検疫されてしまうわけではなさそうだ。