FFRI(旧フォティーンフォティ技術研究所)は2013年7月19日、社員のパソコン上でスタンドアロンで動作する標的型攻撃対策ソフトの新版「FFR yarai Version 2.3」(写真)を発表、同日出荷した。新たにDLLプリロード攻撃を検知できるようにするなど、不正攻撃の検知能力を強化した。価格(税別)に変更はなく、1本当たり9000円から(ボリューム割引あり)。
FFR yaraiは、社員のWindowsパソコンにインストールして使う、エンドポイント型の標的型攻撃対策ソフトである(関連記事:標的型攻撃対策ソフト「FFR yarai」に新版、例外リストを一元管理可能に)。4つの対策エンジン(メモリー破壊攻撃を検知するZDP、静的分析のStatic分析、動的分析のSandbox、振る舞い検知のHIPS)を使い、アプリケーションの脆弱性を突くように仕組まれたメール添付ファイルの挙動や、パターンファイルでは検出できない未知のマルウエアの挙動を検知/分析する。
今回の新版では、ZDPエンジンとStatics分析エンジンを強化し、マルウエアなどによる不正攻撃を検知する能力を高めた。ZDPでは、これまで検知できていなかったDLL Hijackingを検知できるようにしたほか、ROP(Return Oriented Programming)の検知能力をこれまで以上に高めた。一方、Statics分析では、.NET Frameworkアプリケーションの検知能力をこれまで以上に高めた。
動的リンク時に偽DLLを検知可能に、静的分析は.NETも対象に
なお、新たにZDPエンジンで検知できるようになったDLL Hijacking(DLLプリロード攻撃)とは、正規のDLLファイルと同名の偽DLLファイル(マルウエア)をプログラムに動的リンクさせる攻撃手法のこと。攻撃手法としては以前から知られていたものだが、近年の標的型攻撃で使われているPlugXやPoisonIvyなどの遠隔操作ソフトを感染させる手法として利用されているという。
ZDPの強化で以前よりも検知しやすくなったROPとは、バッファオーバーフロー攻撃への対策としてWindows OSが標準的に備えているDEP(プログラム実行防止)やASLR(アドレス空間配置のランダム化)などの対策技術を回避するための攻撃手法である。以前からZDPエンジンでROPを検知できていたが、今回、この能力を高めた。
一方、Statics分析エンジンの強化で以前よりも検知しやすくなった.NET Frameworkとは、Windowsのアプリケーション開発/実行基盤である。C#やVisual Basicなど各種言語で開発/コンパイルした中間コードをランタイム上で動作させる。日本で2012年から報道されているパソコン遠隔操作事件で注目を集めたiesys.exe(アイシス)も.NET Framework上で動作するマルウエアである。
