F-Secure XFENCE(Little Flocker)
アンディ・パテル
私は自宅でも職場でもMacを使用している。そして、コンピュータオタクとしては、作業環境をセキュアに保つために、面白そうなスタンドアロンのツールやアプリを使ってみることも楽しみである。お気に入りは、Objective-SeeWebサイトのknockknock、ransomwhere?、taskexplorerなどだ。また、最近は、FireEye社のMonitor.appで遊ぶのも楽しい。
エフセキュアがLittle Flockerを買収したと聞いて、詳しい話を聞こうと当社のMacチームを訪ねてみた。そこで最初に知ったことは、Little FlockerはF-Secure XFENCEという名前に変わった、ということだった。
このプロジェクトの担当となったMac開発者は、XFENCEを「ファイルのためのファイアウォール」であると説明している。うまくまとめた説明だと思う。
ここで、XFENCEの動作について概略を説明しておく。インストールして再起動すると、XFENCEは「学習モード」で動作し始める。学習モード時に、XFENCEは、検知したプロセスのビヘイビア(振る舞い)やファイルアクセスを基にしてルールを作成する。そのため、アプリケーションの起動や、よく使うファイルのアクセスといった、システム上で通常行う操作を学習モード時に行っておくことをお勧めする。学習モードの終了の際、XFENCEは収集したルールを保存する。その後、保護モードに移行する。保護モードでは、すべての「通常でない」ビヘイビア(すなわち、学習モード時にルールが作成されていないすべてのビヘイビア)について、ユーザにプロンプトを出す。これらのプロンプトに応答することによって、新しいルールが作成される。
当社のWindows製品には、すでに長期にわたって、ビヘイビアベースのブロックメカニズムが採用されている。XFENCE(Little Flocker)の技術が当社のMac製品へ統合されることにより、macOSにそうしたセキュリティの層がもたらされることになる。けれども、ここまでの説明からご推察の通り、現時点でXFENCEは、ほとんどパワーユーザ向けのツールである。システムのオーナーはプロンプトに対してそれぞれ判断を求められることになるが、正しく答えることができるのは、望ましいビヘイビアと望ましくないビヘイビアがどのようなものなのかについて十分な知識がある場合だけである。そこで、この技術をパワーユーザ以外の層にも使いやすくするために、当社ではクラウド参照機能に重点を置いている。
エフセキュアのセキュリティコンポーネントは(すべてのプラットホームにおいて)、URL、ファイル、および証明書などのオブジェクトについて、レピュテーション参照を実行する。実行ファイルの実行を許可するかどうか、あるいはWebサイトをブロックすべきかどうかを判定する際、これらの問い合わせの結果には、クライアント側の意思決定ロジックが反映される。同じように、XFENCEがビヘイビアのパターンを問い合わせできるようにするために、いくつかのメカニズムをXFENCEに組み込むことが予定されている。今後、XFENCEは、Microsoft Word文書が実行ファイルを実行しようとしているのを検知した場合、ユーザにプロンプトすることなく、デフォルトで実行を防止するようになる(当社のWindows上のDeepGuardコンポーネントは、現時点でそのように動作する)。Word文書から実行ファイルを起動することは、ほとんどの場合、真っ当なビヘイビアではないためだ。
しかし例外もある。先日、スレットインテリジェンスチームのアナリストが見つけたあるサンプルは、IT担当者と思しき人物が、自身の組織内のコンピュータにアップデートを適用しようとして、実行ファイルを埋め込んだWord文書を社員宛にメールで送信したものだったようだ。当社の製品は、そのような「アップデート手法」の実行を防止する。そして、そうした作業は別の(より健全な)やり方で行うよう勧めておいた。
エフセキュアでは、XFENCEのテストにご協力いただける方や、XFENCEを(無償で)使ってみたいとお考えの方に向けてベータプログラムを始めている。また、ここで詳述したクラウド参照メカニズムのような機能の追加も予定している。ご意見を大いに求む。XFENCEのベータプログラムのダウンロードはこちらから。
カテゴリ