パロアルトネットワークスは2014年1月15日、ファイアウォール機器の付随サービスで、マルウエアの可能性がある未知のファイルをサンドボックス上で実行して判定するクラウドサービス「WildFire」を強化した(写真)。従来はWindows XP上で実行形式ファイルに限って検査していたが、新たにWindows 7環境を用意したほか、オフィス文書ファイルも検査できるようにした。開発会社は、米Palo Alto Networks。
WildFireとは、同社製ファイアウォール機器「PAシリーズ」と組み合わせて使うマルウエア判定用のクラウドサービスである(関連記事:パロアルト、サンドボックス使うマルウエア判定をオンプレミスでも提供)。ファイアウォール機器を通過するファイルのうち、シグネチャーが存在しない未知のファイルについて、これをクラウド側に送信して検査する。検査の結果、マルウエアと判定されたものについては、新規にシグネチャーデータが作られる。
マルウエアの判定には、現実のデスクトップ環境を模したサンドボックスを利用する。仮想マシンの上で実際にWindows OSやアプリケーションを動作させた環境を用意し、ここで未知のファイルを実行し、その振る舞いを調べて判定する。提供形態として、クラウドサービスのWildFireのほかに、オンプレミス型のサンドボックスサーバー機器「WF-500アプライアンス」も用意している。
今回、WildFireのサンドボックス機能を強化した。具体的にはまず、サンドボックス環境のOSを拡大し、これまでのWindows XPに加えてWindows 7を追加した。XP/7の二つのOS環境で、未知のファイルを実行する。さらに、検査対象のファイルも拡大した。これまではマルウエア本体となる実行形式(exe、dll)に限られていたが、標的型攻撃の最初の入り口として使われるオフィス文書(PDF、およびMicrosoft Officeの各形式)を実行して検査するようにした。また、Javaクラス群(zipやgzipでアーカイブされていても構わない)とAndroid APKについても検査対象とした。
