BlackBerry Protect・Opticsが、イギリスのセキュリティ製品検査機関のSE Labsから、優秀製品の評価を獲得しました。

セキュリティ製品を運用する中で、今使っているものの更新や置き換えを検討するタイミングは必ず訪れます。そのときに気になるのは、そのほかの製品がどの程度優れているのか、今使っている製品は他よりも評価が高いのか、などがあります。特にアンチウイルス製品の比較検証には、自社で実施しようとすると高度なスキルが必要であったり、検知・誤検知の評価をするにもその検体を手に入れる必要があったり、そして検証する製品が多すぎて選定が難しいなど、検証の準備段階から多くの課題が出てきます。そのため、第三者機関による評価を参考に、自社環境で検証する製品を選んだりすることもあります。よく知られている第三者検証機関としては、・AV-Comparatives ・AVTEST ・SE Labs などがあります。今回、BlackBerry Protect・Opticsの製品を評価したSE Labsの特徴の一つは、すでに市場に出回っている既知の検体ファイルの検知率を評価するのではなく、システムに対して、現実に起こりうる、また使われたことが確認されている攻撃手法を用いて評価を実施していることです。もし、セキュリティ製品が介在していなければ、この検査機関が用意した攻撃手法はいずれも、攻撃を完遂し、ターゲットとなる組織ネットワークを危殆化させることができるものです。そのためこの評価結果は、将来起こる可能性のある攻撃を想定したときに、いかにその製品がパフォーマンスを発揮できるかを示すものの一つとして活用できます。

BlackBerry Protect・Opticsのテスト結果

BlackBerry Protect・OpticsはSE LabsのAAA評価（最高位）を獲得しました。実施した主なテスト※1は・高度な標的型攻撃の検知・高度な標的型攻撃のアクションに対する防御・当該脅威によってもたらされる損失やリスクへの対応策が提供されるか・正規アプリケーションやそのほかの扱い ※ 1 テストは2021年4月から5月にかけて行われ、物理PCが使われている。そしてこれらの実施による結果は、・ファイル防御の正確性：92％・正規ファイルに対する検知の正確性：100％（つまり誤検知無し）・正確性の総合評価：95％でした。

引用：SE Labs　Breach Response Test: BlackBerry Protect

テスト手法とその採点方法

SE Labsの用意しているテストは、現実の攻撃手法に即したものとなっており、攻撃のキルチェーンのどこで検知できたか、防御できたかが採点に含まれています。採点は減点方式で、実際に防御できれば４点満点で、そこから例えば検知に失敗したらマイナス0.5ポイント、権限昇格の場合はマイナス2ポイント、などと減点されていきます。キルチェーンの後半の段階での対応に失敗するとそれだけ、減点幅が大きくなります。

採択された攻撃手法

攻撃グループによる攻撃手法は、MITRE ATT＆CKなどのフレームワークを用いることで共通言語化され、整理されていきます。また攻撃手法には、攻撃グループの名前が付けられることが一般的です。そのため以下のリストは、これら攻撃グループが実行している攻撃手法を指しています。今回テストで採用されたものは、・FIN7：小売や外食業を標的としたスピアフィッシング攻撃を行い、顧客の苦情や履歴書、注文などに見せかけたWordファイルやRTFフォーマットに、不正スクリプトが混入されているという特徴があります。・FIN4：標的となる組織で使っているOffice系文書を窃取し、不正マクロを埋め込む手法が特徴です。・FIN10：カジノや天然資源を扱う企業を標的とし、よく知られているツールと合わせてスピアフィッシング攻撃を行う特徴があります。・Silence：一部のスクリプトファイルを悪用した攻撃で知られ、Office系文書を悪用し金融組織を標的とする特徴があります。これらについて詳しくは、MITREのページ（日本語版、非公式）などをご覧ください。

おわりに

SE Labsが実施した検証方法は、単にアンチウイルス製品に対して大量のサンプルファイルを検知させるようなテストと違い、現実に発生しうる攻撃に即したものでした。そのテスト結果が上記の通り優秀なものであったことは、つまりBlackBerry Protect・Opticsは、これらの攻撃や類似のものが将来発生した場合に守れる可能性が高いことを示しています。本記事が、製品選定の参考になれば幸いです。なぜBlackBerry Protect・Opticsはこのように高いパフォーマンスを発揮できるのか、こちらのホワイトペーパーにまとめていますのでご参照下さい。