Powertech Antivirusは、米HelpSystemsが開発したIBM i用のウイルス対策製品で、国内ではソルパックが2007年から販売している。世界では1000ライセンス以上、国内でも約100ライセンスの販売実績がある。
そのPowertech Antivirusが2022年1月にランサムウェア対策機能を追加したのを受けて、ソルパックは6月に新バージョンのPowertech Antivirus V8.06をリリースした。同ツールはIBM i上でネイティブで稼働する製品である。
IBM iのランサムウェア感染は欧米では広く話題となり、被害も多数報告されている。IBM iがランサムウェア攻撃の対象となるのは、PCにマウントしたIFSのファイルおよびデータである。IFSは、PHPやWebSphere、Notes/Domino、WebQuery、MySQLなどのアプリケーションで利用されることが多く、オープン系技術を活用したSoEシステムや外部サービスとの連携が増えるなかで、ランサムウェアの脅威が拡大している。同様にウイルス感染の恐れも増大している。
IFS中のデータがウイルスに感染し対処が遅れると、IBM iが“保菌者”となり、ウイルスを拡散し続ける懸念が高まる。またランサムウェアに感染し暗号化されると、RPGなどの基幹プログラムには影響がなくても、基幹システムと連携するアプリケーションやデータがストップするので深刻な被害に及ぶ恐れがある。
Powertech Antivirus V8.06は、ウイルス対策機能とランサムウェア対策機能の両方を備える。そのためウイルスとランサムウェアの両方のサイバー攻撃に対応可能である。
Powertech Antivirusのウイルス対策には、McAfeeのパターンファイルが使用されている。McAfeeの定義ファイルを使用する理由についてソルパックの福嶋浩人氏は、「世界レベルで定評のあるパターンファイルを利用することにより信頼性を高めるのが狙いです」と話す。パターンファイルは常時更新され、つねに最新に保たれているという。
またランサムウェア対策でも、McAfeeの2つの技術が採用されている。1つは「アクセス・パターン」、もう1つは「おとりファイル」の技術である。
アクセス・パターンは、ランサムウェア攻撃の多様なアクセス手法をパターン化し定義したもの。定義の更新は「Powertech Antivirusのバージョンアップごとに、製品に組み込まれて提供されます」(福嶋氏)という。
アクセス・パターンは、IFSのファイル/データに対して次のような挙動があった場合に作動する。
・IFSのファイルがランサムウェアによって読み込まれた後、所定の位置に上書きされた場合
・IFSのファイルがランサムウェアによって移動され、読み込まれた後、上書きされて再び移動された場合
・IFSのファイルがランサムウェアによって読み込まれ、新しいファイルが作成されて古いファイルが削除または上書きされた場合
アクセス・パターンがランサムウェアを検知すると、その送信者を識別し、管理者に通知するとともに、以降のアクセスを自動的に遮断する。この送信者は、IBM i NetServer経由でアクセスしてきたユーザーである。
もう1つの「おとりファイル」は、業務とは無関係のファイルをPCにマウントしたIFSのディレクトリ上に配置しておき、おとりファイルがランサムウェアに感染したのを検知して防御する方法である。検知、通知、遮断という一連の対処方法はアクセス・パターンと同様である。
福嶋氏は、「ランサムウェアの中には、ファイルの名称や内容に含まれる『機密』『戦略』『セキュリティ』などのキーワードをスキャンして暗号化するものがあります。おとりファイルはそうしたキーワードをファイル内に仕掛けておき、攻撃の初期段階で感染させ後続の攻撃を遮断する方法です」と説明する。
Powertech Antivirus V8.06は、アクセス・パターンとおとりファイルの2つの防御策を同時に稼働させてランサムウェア攻撃に対抗するツールである。
ただし、「それでも防御をすり抜けられ、ランサムウェアに感染するケースも想定されます」と、福嶋氏は話す。
Powertech Antivirus V8.06にはその“すり抜け”を最小化するための、検知のレベルを設定する機能が備わっている。
検知のレベルを1〜100のスコアで設定し、しきい値のチューニングによって感染の発生を抑えることが可能です。2通りのランサムウェア対策に加えて、一律ではない防御を行えるのがPowertech Antivirus V8.06の大きな特徴です」(福嶋氏)
株式会社ソルパック https://www.solpac.co.jp/
[i Magazine 2022 Summer(2022年7月)掲載]
