ソフトウェアホワイトリストまたはアプリケーションホワイトリストと呼ばれているソリューションは、OSの安定動作に影響しない状態でOSのプログラムやサードパーティのプログラムを厳しく制御する技術です。これらを活用すれば、システムの常駐プロセス・関連する環境やファイル、ユーザのプログラム操作を特定ターゲット環境・フォルダ・ファイルにのみ許可できます。この技術は概念的にゼロトラストのアプリケーション信頼ルールと近いです。
- ハッキングが境界の保護を迂回してシステムのベースに侵入した場合、ソフトウェアホワイトリストの技術であれば悪意あるプログラムやハッキングツールの実行をブロックするか破壊される確率を軽減できます。
- 内部メンバーのPC環境に対しても、未許可やセキュリティリスクのあるプログラムを禁止できるので安全性を確保できます。
- 特定領域のシステムデバイスに応用できます。
例:金融業のATMと作業PC、国や政府関係の機密情報取り扱いシステムと作業PC、CIIの重要インフラデバイス、工場のマシンコントロールシステム、自動運転のネットワークシステム…等、各種機密情報運用システムや人命に関連する環境インフラシステムに応用できます。
ソフトウェアホワイトリストの応用価値
PCデバイスの制御とハッキングなど悪意あるプログラムのブロック需要に対応して、集中管理で内部脅威によるデータ窃取リスクを大幅に低減し、違反ソフトウェアによるデータアクセスや悪意あるプログラムによるファイル窃取・破壊に対応できます。
ハッキング技術の進化からみるソフトウェアホワイトリストの挑戦
マイクロソフトのMicrosoft Defenderという標準ソフトウェアホワイトリストの仕組みを例にすると、個人や企業に対しても寛容なモードで対応しています。悪意あるプログラムやランサムウェアが防壁を回避して実行できた場合、最初の動作でDefenderをキルするとDefenderが無効になりサービスが停止します。そうすると寛容モードのソフトウェアホワイトリストやアンチウイルスの仕組みが効果を失います。これを回避するため、Windows 10 2004以降のMicrosoft Defenderは時間差で保護を自動復旧します。このように、ランサムウェアの進化から侵入手法がどんどん巧妙化していき、今後はさらなる進化が予想されます。今までの攻撃の進化を整理すると以下のようになります。
第1段階:
悪意あるプログラムがシステム権限フォルダに入って、ファイルの暗号化や削除を実施します。旧来のソフトウェアホワイトリストやアンチウイルスソフトウェアでも十分に防御できます。
第2段階:
OSの標準プロセスを利用してホワイトリスト防御の仕組みを削除するように徐々に進化しています。言うなれば白血球が正常な細胞を攻撃しているような形になります。対策としては、ソフトウェアホワイトリストを利用してフォルダへの操作可能アプリケーションを厳しく制限して、重要ファイルだけでも保護します。
第3段階:
その後はさらにDLLへの侵入の手法が開発され、Windows 10 OS標準アプリケーションに注入してから侵入と感染を実施します。この段階ではほとんど抵抗の手法がありません。この手法を利用したのが著名なランサムウェアNetwalkerです。ハッキンググループの検証ではWindows 10 OS関連アプリケーションの95%はDLLに侵入できると判明しており、ますます防御が難しくなります。DLL侵入対策もブラックリスト/ホワイトリスト(署名やパス等を参照)と各種制御手段と組み合わせて抵抗するしかありません。
第3.5段階:
前述の方法にファイルレスの手法が併用され、ますます防御ができなくなっています。ファイルがないので、プロセスがそのままキャッシュ(メモリ)に配置されて実行します。内部キャッシュはシステム権限 (System)を有するので、ほぼ阻害されることなく感染させることができます。よく見かけるのがPowerShell Fileless経由の方法です。その上複数回の難読性処理を行うため、ファイルレス攻撃に対する防御自体のハードルがものすごく高いです。
第4段階:
まだ実例はありませんが、可能性としてはドライバを利用した攻撃が予想されます。一部のドライバは再起動する必要がありますが、一部はドライバをリロードすれば動作できるので、攻撃に利用されると現段階ではほぼ防御手段がないでしょう。
前述以外の手法もありえるので、各企業のセキュリティ担当者は継続的にセキュリティ情報に注目する必要があります。悪意あるプログラムとランサムウェアに対するソフトウェアホワイトリストの効果と挑戦を見てきましたが、攻撃の多様化に対応して今後もさらなる進化が必要です。