WildFire: FAQ - Palo Alto Networks Live

WildFire: FAQ
モダンマルウェアは従来のマルウェアと何が違うのですか？

モダンマルウェアは従来のアンチウイルスやネットワークセキュリティソリューションを回避するために進化してき
ましたが、モダンマルウェアと定義する重要な要素が 2 つあります。まず、多くのマルウェアは高度にネットワーク
化され、リモート攻撃者によって遠隔接続され制御される機能を持っています。ボットネットは高度にネットワーク
化されたマルウェアの良い例です。マルウェアは攻撃者の要求に基づき変化し適応できるため、相互接続性はマルウ
ェアに強力な回復力を持たせ、さらに危険なものにします。次に、モダンマルウェアは従来のアンチウイルスソリュ
ーションによる検知を避けるために進化しています。これは AV シグネチャに引っかかることなくネットワークにア
クセスできる標的型またはポリモーフィック型のマルウェアを使って広く行われています。これら技術は全く新しい
わけではありませんが、標的型攻撃でよく見かけられます。
WildFireとは何ですか？

WildFire を使い.exe ファイルと.dll ファイルをパロアルトネットワークスのセキュアなクラウドベースの仮想化され
た環境に送信することで、それらに悪意ある活動が無いか自動的に分析できます。パロアルトネットワークスはファ
イルを脆弱性のある環境で動作させ、システムファイルの修正、セキュリティ機構の無効化、さまざまな IPS 検知の
回避手法使用など 70 以上の悪意ある振舞いや技術を観察できます。結果をレビューできるようになったらユーザへ自
動的に通知することができます。送信されたファイルの詳細分析は WildFire ポータル経由で確認でき、管理者はどの
ユーザがターゲットになったか、利用されたアプリケーションは何か、観察された悪意ある振舞い、ファイルが業界
のアンチウイルスソリューションで対応できているかどうかを確認できます。
（補足）今後、PDF ファイルをはじめとする他のファイル形式にも対応する予定です。
WildFireはアプライアンス、機能、サービスのどれですか？

WildFire は PAN-OS4.1 から利用可能な新機能で、シグネチャではなく実行可能ファイルの動作振舞いを基にマルウ
ェアを自動検知します。
なぜPalo Alto NetworksはWildFireを開発したのですか？

モダンマルウェアは標的型のプロフェッショナル攻撃、いわゆる APT (Advanced Persistent Threat) で重要なもの
になりつつあります。この場合、マルウェアは標的とするネットワークに対してカスタムメイドされ、過去にインタ
ーネット上に出現していないものであるために既存の AV シグネチャでは発見できません。そのため、モダンネット
ワークセキュリティでは、ファイルが既知のものでなくても無害か悪意あるものか判断する機能が必要です。悪意あ
るファイルが見つかった場合、WildFire は分析を実行し、即座に利用できる検知能力と保護を IT チームに提供します。
WildFireは追加ハードウェアが必要ですか？

いいえ。ユーザは実行可能ファイルのサンプルを既存のパロアルトネットワークス機器またはパロアルトネットワー
クス WildFire ポータル経由で送信できます。WildFire の分析はクラウドで実施されるため、ユーザのファイアウォー
ルパフォーマンスに影響を与えません。
WildFireは防御機能持つか、検知機能のみかどちらですか？

WildFire は 2 つの主要機能があります。悪意ある振舞いを検知する「仮想サンドボックス環境」と、パロアルトネッ
トワークスの標準マルウェアアップデート経由で配布されるシグネチャの生成とテストを行う「自動シグネチャ生成」
です。この機能では、アップデートはほぼリアルタイムで配信され、マルウェアが見つかってから 1 時間以内（目標
値）に世界中に配信されるシグネチャを減らします。
© 2012 Palo Alto Networks (PAN-OS 4.1)
1
WildFireへ送信される個人情報のプライバシーをどのように確保できますか？

クラウドに送信されるすべてのファイルはパロアルトネットワークスの証明書を用いて暗号化されます。ファイルが
クラウドで受信されると、厳重にセキュリティ保護されたサンドボックス環境に送られ、ここですべてのトラフィッ
クが複数セキュリティ階層により厳しく統制されます。WildFire では重複解析をしなくても良いように分析したファ
イルのハッシュが管理されます。別のファイアウォールで同じファイルが見つかった場合、そのファイアウォールは
ファイルを送信する前に、既に同じファイルが分析されていないかをクラウドに問い合わせます。WildFire の最初の
バージョンでは EXE および DLL ファイルの分析に制限されます。インターネットのような信頼されない送信元から
来るファイルのみを転送し、企業の内部情報が含まれるであろう内部セグメントからの実行ファイルを送らないよう
にするようポリシーを設定することができます。さらにユーザは、対象ユーザ、アプリケーション、IP アドレスとい
った情報のうちどれをサンプルに含めて WildFire へ送信するかを設定できます。
図: WildFire で送信するユーザ情報選択画面
仮想環境ではどのオペレーティングシステムが使われていますか？

仮想サンドボックスではオペレーティングシステムとして Windows XP が使われます。サポートされるオペレーティ
ングシステムは今後増えていく予定です。
（補足） PAN-OS4.1 では 32 ビット版 OS 用のファイルのみサポートします。
他のOSはサポートされますか？

はい。Windows XP は市場普及率とマルウェア製作者に起因する最初のオペレーティングシステムであるだけです。
（補足）今後、仮想環境では Windows 7 をはじめとする OS への対応が予定されています。
PDFのような他のファイルフォーマットのサポート予定はありますか？

はい、WildFire はマルウェアによく用いられる他のファイルタイプを含むよう、順次拡張されていきます。

（補足）PAN-OS5.0 で PDF ファイルのサポートが予定されています。その後 Microsoft Office 系ファイルのサポー
トが予定されています。
© 2012 Palo Alto Networks (PAN-OS 4.1)
2
PDFやOffice系ファイルのスキャンができないと標的型攻撃対策はできませんか？

いいえ。標的型攻撃で利用されるマルウェア本体は WildFire で検出可能な実行形式ファイルです。標的型メール等で
添付される PDF、Flush、Microsoft Office 系ファイルには Javascript の文字列として符号化されるようなシェルコ
ード（脆弱性を悪用する攻撃コード）が埋め込まれ、シェルコードを介してマルウェア本体がダウンロードされます。
標的型攻撃対策としてシェルコード自体を検出する方法と、シェルコードを使ってダウンロードされるマルウェア本
体を検出する方法があります。PAN-OS4.1 では後者の手法、PAN-OS5.0 以降では前者を含めた手法に対応すること
になります。
WildFireのサンプル送信が行えないアプリケーションはありますか？

独自暗号化されたトラフィック上でやりとりされるアプリケーションは WildFire で分析することができません。これ
らアプリケーションはマルウェア感染経路を与えるなどのさまざまな理由から次世代ファイアウォールで厳格に規制
すべきです。パロアルトネットワークスは SSL 復号化機能を提供し、WildFire で分析するサンプルの転送に必要とな
ることがあります。
WildFireはZIP圧縮されたファイルを展開できますか？

はい。ZIP や Compressed HTTP (GZIP) は検査対象となり、中の EXE や DLL ファイルは分析のため送信されます。

（補足）ZIP や GZIP 以外の圧縮ファイル、パスワード付の圧縮ファイルは展開できません。ZIP や GZIP は２階層ま
での圧縮（ZIP 圧縮したファイルをさらに ZIP 圧縮）に対応しています。Web メール添付の ZIP ファイルは 1 階層
までの圧縮に対応します。
ドライブバイダウンロードに対するコンティニューページではWildFireはどのように動作しますか？

コンフォートページの生成、コンティニュー処理、コンティニュー／フォワード処理を行います。

（補足）コンフォートページとは、Web ブラウザ経由で実行ファイルダウンロード時にブラウザ画面に表示されるレ
スポンスページです。このページは “Device > Response Pages > File Blocking Continue Page” でカスタマイズ
できます。このページは日本語も使えますが、UTF-8 エンコードで記述してください。

（補足）コンティニュー処理とは、コンフォートページ内の「Continue」ボタンをユーザがクリックすると、目的の
実行ファイルのダウンロードが開始されることです。File Blocking Profile の Action が continue であればコンティ
ニュー処理、continue-and-forward であればコンティニュー処理後 WildFire へファイルをアップロードします。
図: コンフォートページの出力画面
ユーザはファイルが転送されたことをどのように知ることができますか？

WildFire にアップロードされたファイルは Data Filtering ログに記述されます。

（補足）詳細は「WildFire に関するファイアウォール上のログにはどのようなものがありますか？」を参照してくだ
さい。
© 2012 Palo Alto Networks (PAN-OS 4.1)
3
レポートやログはどのように表示されますか？

ログおよびレポートは WildFire web ポータルで参照します（PAN-OS4.1 の場合）。
図: WildFire web ポータル画面
何故WildFireと呼ぶのですか？

名前は、WildFire が作られた解決すべき課題を訴えています。つまり、アンチマルウェアソリューションは防御策が
展開される前に “ワイルド (インターネット上)” でマルウェアのサンプルを取得する必要性に基づきます。標的型ま
たはカスタムのマルウェアの場合、マルウェアは従来のハニーポットやハニーネットに現れることがないため、深刻
な問題となります。標的ネットワークはマルウェアが確実に出現する唯一の場所です。このため、ファイアウォール
の位置までワイルドのマルウェアを捕捉する概念を導く必要がありました。
モダンマルウェアの例は何ですか？

Application
and
Threat
Research
Center
でいくつかの例を示していますので
(http://www.paloaltonetworks.com/researchcenter/)、今後もこちらの資料を参照してください。主な例を以下
に示します。

RSA および Aurora 攻撃 - これら 2 つは非常に有名な標的型攻撃です。これらは、それまで未知だったマルウ
ェアを使って企業に侵入した非常に高度な攻撃の例です。詳細情報は以下を参照して下さい。
http://www.paloaltonetworks.com/researchcenter/2011/05/a-few-thoughts-on-the-latest-databreac
hes/

TDL-4 - 従来のセキュリティ対策を避けるためにいろいろな策略を用いた高度にネットワーク化されたマルウ
ェアのよい例です。TDL-4 に関する詳細情報は以下を参照してください。
http://www.paloaltonetworks.com/researchcenter/2011/07/analyzing-the-indestructible-botnet/
© 2012 Palo Alto Networks (PAN-OS 4.1)
4
WildFire FAQ: 技術詳細
ファイルタイプが一致すればWildFireクラウドに転送されるのですか？
PAN-OS4.1 の場合、exe ファイルと dll ファイルが WildFire クラウドへの転送対象となるファイルですが、デバイス上
で既にクラウドへ送ったことのあるファイルについてはハッシュが生成されてキャッシュされ、次に同じハッシュ値とな
るファイルが到達した場合デバイスはクラウドへ転送しません。また、信頼された発行元により署名されたファイルもク
ラウドへ転送されません。この動作は “set deviceconfig setting wildfire disable-signature-verify” コマンドにより無
効にすることが可能です。デバイスは信頼された発行元のリストを保持しており、この情報は App + Threat のシグネチ
ャにより毎週アップデートされます。
自己解凍形式の実行ファイルはWildFireクラウドにアップロードされますか？
はい。自己解凍形式のファイルは実行ファイル形式であるため、他の実行ファイルと同様に WildFire クラウドでの検査対
象となります。
Wildfireに関するファイアウォール上のログにはどのようなものがありますか？
Data Filtering ログの Action 欄に出力されます。以下に詳細を記します。 wildfire-upload-success または
wildfire-upload-skip のアクションである場合、関連する情報を WildFire web ポータルで確認することができます。
forward: データプレーンが WildFire 実施ポリシー上で PE ファイルを検知し、PE ファイルがマネジメントプレーン内
にバッファされます。あるファイルで forward アクションが表示された場合、そのファイルが信頼された発行元により署
名されているか、クラウドにより既に無害であると確認されたものになります。このような場合、ファイルに対しては何
のアクションも取られず、クラウドにセッション情報を含めデータが送信されることもありません。このため、WildFire
web ポータルにこれらファイルが表示されることはありません。
wildfire-upload-success: ファイルが信頼された発行元により署名されておらず、過去にクラウドで未確認であること
を表します。この場合、ファイルとセッション情報は解析のためクラウドにアップロードされます。
wildfire-upload-skip: ファイルが既にクラウドへ送られたことがあり、マルウェアとして検知されたファイルを表しま
す。ファイル自体はクラウドにアップロードされませんが、ログ収集のためセッション情報はクラウドに送信されます。
wildfire-upload-fail: 誤った DNS 設定やコネクションタイムアウトなどのネットワーク的な問題によりクラウドへの
アップロードが失敗しました。 “varrcvr.log” 内の “pan_fbd_cloud_upload error” にエラーの理由が記載されます。
ファイアウォール内部のWildFire関連のバッファ領域はどの程度ありますか？
ファイアウォールがクラウドにファイルを転送する前に、マネジメントプレーンにバッファ可能な記憶領域は機種によっ
て異なります。アップロードすべきファイルが大量に到着した場合や、クラウドとのコネクションが低速な場合に利用さ
れます。

PA-5060/5050/5020/4060/4050 – 500MB

PA-4020, PA-2050/2020, PA-500 – 200MB

PA-200 - 100MB
このバッファの利用率は “show wildfire disk-usage” で確認することが可能です。
-----------------------------------------------------admin@PA-500> show wildfire disk-usage
Disk usage for wildfire:
Total disk usage:
0
Total temporary files:
0
Allow new files:
yes
------------------------------------------------------
“Allow new files” が “yes” である場合バッファにファイルを格納できます。バッファが一杯になると “no” になります。
“show wildfire statistics” の “CANCEL_BY_DP” や “CENCEL_FILE_DUP” でもクラウドに送信されなかったファイ
ルのカウントが確認できます。
© 2012 Palo Alto Networks (PAN-OS 4.1)
5
admin@PA500> show wildfire statistics
statistics for wildfire
Total msg rcvd:
Total bytes rcvd:
Total msg read:
Total bytes read:
Total msg lost by read:
DP receiver reset count:
10696
12881693
10675
12600311
21
5
Total file count:
CANCEL_BY_DP
CANCEL_FILE_DUP
DROP_NO_MATCH_FILE
File caching reset cnt:
21
5
6
21
5
FWD_CNT_LOCAL_FILE
FWD_CNT_LOCAL_DUP
FWD_CNT_LOCAL_FILE_CLEAN
FWD_CNT_REMOTE_FILE
FWD_CNT_REMOTE_DUP_CLEAN
FWD_CNT_REMOTE_DUP_TBD
FWD_ERR_CONN_FAIL
data_buf_meter
msg_buf_meter
ctrl_msg_buf_meter
fbf_buf_meter
7
6
3
4
8
1
48
0%
0%
0%
0%
WildFireクラウドのどのサーバに接続されますか？
“Device > Setup > WildFire > General Settings” にて WildFire Server が指定されます。デフォルトでは
default-cloud と設定されています。デフォルト設定の場合、アメリカ、ヨーロッパ、日本、シンガポールに置かれたサ
ーバ（具体的には Amazon EC2 サーバ）のうち、稼働中で遅延が最も小さいサーバが自動的に選択されます。ファイア
ウォールはすべての WildFire サーバに対して自動的に ping を実施し、最もレスポンスの早いサーバを選択します。選択
されたサーバは、 “show wildfire status” コマンドの “Best server” で確認できます。
管理者が手動で特定の WildFire サーバを選択することも可能です。 “set deviceconfig setting wildfire
disable-server-select” コマンドによりサーバの自動選択を無効にできます。
サーバとファイアウォールの間では HTTPS コネクションが接続され、SSL 暗号化されます。クライアント側とサーバ側
の証明書はパロアルトによって署名されています。認証局（CA）は、パロアルトネットワークスのファイアウォールが有
効な WildFire クラウドインスタンスにのみ接続されるよう、あるいは WildFire クラウドインスタンスが有効なファイア
ウォールとだけ接続されることを確実にします。
admin@PA500> show wildfire status
Connection info:
Wildfire cloud:
Status:
Best server:
Device registered:
Service route IP address:
Signature verification:
Server selection:
© 2012 Palo Alto Networks (PAN-OS 4.1)
default cloud
Idle
jp-s1.wildfire.paloaltonetworks.com
yes
192.168.0.232
enable
enable
6
Through a proxy:
no
Forwarding info:
file size limit (MB):
file idle time out (second):
total file forwarded:
forwarding rate (per minute):
concurrent files:
10
90
4
0
0
WildFireサーバにアップロードされたファイルはその後どうなりますか？
カリフォルニアにある WildFire Analysis Center がデータを取得できるまで、セッション情報とサンプル情報は WildFire
サーバにバッファリングされます。通常、ユーザデータは数秒間 WildFire サーバで保持されます。WildFire サーバと
WildFire Analysis Center の前段には IP アドレスベースのアクセスリストが存在し、WildFire サーバと WildFire Analysis
Center 間のコネクションのみが許可されます。この間のコネクションは HTTPS で SSL 暗号化されています。
顧客データは最大 30 日間 WildFire Analysis Center に保持されます。マルウェアと判断されたサンプルはクラウドから
取り出された後、カリフォルニアにあるパロアルトネットワークス本社のマルウェアライブラリに保存されます。
WildFire サービス経由でパロアルトネットワークスが顧客から取得したマルウェアサンプルは、マルウェア研究団体のパ
ートナー企業が利用できるようにする可能性があります。
パロアルトネットワークスは誰がマルウェアを WildFire サービスに提供したかが分かるような方法で顧客間や他の団体
と WildFire データを共有することはありません。
アップロードされたファイルやユーザ情報はいつまでWildFireクラウドで保持されますか？
ユーザに関する情報（IP アドレス、ポート番号、アプリケーション名、ユーザ名、URL、ファイル名、VSYS のうちアッ
プロードする設定にしたもの。）と、無害 (Benign) と判定されたファイルの実体は最大 30 日間 WildFire Analysis Center
で保持されます。システムでは 15 日ごとに再スキャンが実施され、更新された WildFire システムにより前回無害だった
ファイルがマルウェアとして判定されないか確認されます。マルウェアと判定されたファイルの実体は無期限に保持され
ます。
（補足）15 日ごとに行われる再スキャンでも無害と判定されたファイルは、そのファイルのアップロードから 15 日後に
削除されます。
WildFireにより検知されたマルウェアに対するAVシグネチャは、いつどのように作られるのですか？
WildFire により検知されたマルウェアに対するアンチウイルスシグネチャは、ファイルハッシュではなく、従来の AV シ
グネチャと同様のフォーマットで生成されます。ファイル構造内の特定データフィールドを基に生成することで、ファイ
ルハッシュを基にするよりも確実なシグネチャとし、１つのシグネチャで同じサンプルの複数の亜種を見つけることも可
能になります。
太平洋標準時 (PST) の午後 5 時頃に AV シグネチャの生成が行われ翌朝リリースされますが、PAN-OS4.1 では午後 5 時
頃までに WildFire システムで検知された新規マルウェアに対するシグネチャは翌朝のリリースに含まれることになりま
す。
（補足）ファイルハッシュは、WildFire システムで既に検査したファイルかどうかを判定するために使われます。
ユーザセッション情報はWildFireの解析に影響を与えますか？
いいえ。現時点では送信元 IP アドレスなどのユーザセッション情報は WildFire におけるマルウェア解析には使用されま
せん。ポータルサイトにおけるレポートで使われるだけです。したがって、ファイアウォールとインターネットの間に明
示型プロキシが置かれていてもマルウェア解析に影響はありません。
© 2012 Palo Alto Networks (PAN-OS 4.1)
7
HTTPS/SSL暗号化通信でダウンロードされたファイルをWildFireにアップロードできますか？
はい。HTTPS の通信で WildFire の設定を行うには、以下の設定を行います
(1) WildFire の設定
(2) SSL decryption の設定
(3) CLI から以下のコマンドを入力
set setting ssl-decrypt allow-forward-decrypted-content yes
WildFireでマルウェアが発見された際に、管理者にメール通知可能ですか？
可能です。WildFire Web ポータルの Settings メニューで、WildFire クラウドにてファイルがマルウェアまたは無害と識
別された場合に、管理者のメールアカウントにメール通知することが可能です。メール通知は、特定のデバイスのみ指定
することも可能です。
送信されるメールのタイトルは “Your Wildfire analysis report for file “ファイル名” is ready” で、メールの内容例は以
下です。
-----The file "test.exe" is uploaded from firewall PA500 at 2012-01-01 11:11:10.
URL: example.com/xxx/
User: unknown
Application: web-browsing
Source IP/Port:108.59.10.xx/80
Destination IP/Port:192.168.210.xx/57025
Device S/N: 0006C100xxx
This sample is malware
Here is the summary of the sample's behaviors:
-Created or modified files
-Spawned new processes
-Modified Windows registries
-Changed security settings of Internet Explorer
-Visited a malware domain
-Created an executable file in a user document folder
-Changed the proxy settings for Internet Explorer
-Modified the network connections setting for Internet Explorer
The detailed analysis report is at:
https://wildfire.paloaltonetworks.com/report/box/14e763d8aaf474af7592ab501f40e6831b7bd1e110645b41be92
e8efxxxxxxxx/XXXXXXX
------
© 2012 Palo Alto Networks (PAN-OS 4.1)
8
© 2012 Palo Alto Networks (PAN-OS 4.1)
9

Download Report