ペイロードベースのシグネチャとは

ペイロードベースのシグネチャは、ハッシュなどの属性ではなくファイルのコンテンツに含まれるパターンを検出することで、改変されたマルウェアを特定し、ブロックできるようにします。

多くのセキュリティ ツールは、ハッシュ、ファイル名、URLといった容易に変更できる変数に基づくシグネチャを利用して既知のマルウェアを識別し、システムへの感染を防ぎます。このタイプのシグネチャで脅威を識別するには、基本的にシグネチャと特定の変数が1対1で対応している必要があります。

かつては有効なマルウェア識別手段でしたが、今や攻撃者がより高度な検出回避手段を取り入れているため十分とは言えません。現在、マルウェア作成者はシグネチャ マッチングを回避するために、既存のマルウェアにわずかな変更のみを加えた数千もの亜種を容易に作成できるようになっています。従来のシグネチャは固有のファイルごとに静的に1対1で対応している必要があるため、わずかな変更を加えることでマルウェアを検出されないようにすることができます。

攻撃者の進化に伴い、防御手法も進化しています。したがって、ハッシュなどの単純な属性ではなく、ファイルの実際の内容に含まれるパターンを検出する、ペイロードベースのシグネチャを利用したセキュリティ保護の利用を検討する必要があります。ペイロードベースのシグネチャは、たとえ既知のマルウェアが何らかの形で改変されて、まったく新しいハッシュが作成されたり、その他のわずかな変更が加えられたりしても、さもなければ未知の脅威として扱われていたはずの脅威を識別し、ブロックすることができます。

ペイロードベースのシグネチャを作成するにはより多くの証拠とデータ セットが必要ですが、各シグネチャは亜種やポリモーフィック型マルウェアをブロックする効果が向上し、防御網が広がるため、セキュリティ チームが作成・展開する必要があるシグネチャの数は最終的に減ります。ペイロードベースのシグネチャなら、1つのシグネチャで同じマルウェア ファミリの数万もの亜種をブロックできます。その結果、1対多のマルウェア検出が実現し、防御が大幅に迅速化されると同時に防御能力が高まります。

パロアルトネットワークスの次世代セキュリティ プラットフォームは、WildFireによる未知の脅威の検出や脅威防御サブスクリプションからの適用を含め、脅威インテリジェンス クラウドを利用してペイロードベースのシグネチャを組織全体に自動的に配布します。また、パロアルトネットワークス独自のシグネチャベースの高精度なフォーマットにより、マルウェアの複数の亜種やコマンドアンドコントロール トラフィックを独自に阻止することができます。