メモリから再構築されたマルウェア ── 従来の対策では「見えない」攻撃
2024年8月、イスラエルのセキュリティ企業Sygnia Consultingが衝撃的なレポートを公開しました。
中国の国家支援を受けているとみられる脅威グループ「Velvet Ant」が、Cisco NX-OSのゼロデイ脆弱性(CVE-2024-20399) を悪用し、企業のネットワークスイッチに侵入。そこ![CyviZen_図解3_VelvetAnt_1.png]で使用されたマルウェア「VELVETSHELL」は、実行後にファイルと活動の痕跡を徹底的に削除し、数年間も発見されることなくスパイ活動を継続していたというのです。
驚くべきことに、Sygniaのセキュリティ研究者たちはメモリからマルウェアを再構築することで、ようやくその存在を突き止めました。
つまり、ディスク上には何も残っていなかった。ログにも記録がない。従来のEDR(エンドポイント検知・対応)やアンチウイルスでは、この攻撃を捕捉することは極めて困難だったのです。
▲ 国家支援型攻撃「Velvet Ant」の攻撃フローと衝撃的な潜伏期間
なぜ従来のセキュリティは「限界」なのか
この事例が示しているのは、現代のサイバー攻撃における根本的な問題です。
従来型セキュリティの前提
従来のセキュリティ対策は、以下の前提に立っています:
- 侵入を検知する → シグネチャや振る舞いで検知
- 侵入後に対処する → 隔離・駆除・復旧
- データは常にディスク/メモリ上に存在する → だから守る必要がある
しかし、Velvet Antのような高度な攻撃者は:
- ✗ シグネチャに登録されていないゼロデイを使う
- ✗ 検知される前に痕跡を消す
- ✗ メモリ上でのみ動作し、再起動しても永続化する手法を持つ
「守る」というアプローチそのものが、攻撃者に後れを取る構造になっているのです。
▲ 「鍵を増やす」従来型 vs 「そもそも見つからない」CyviZen
パラダイムシフト:「存在させない」という発想
ここで紹介したいのが、CyviZen(サイヴィゼン) というオーストラリア発の次世代セキュリティソリューションです。
CyviZenのコンセプトは明快です:
「守る」から「存在させない」へ
攻撃対象そのものを消滅させることで、リスクを根本から排除する。これは単なるマーケティング用語ではなく、4つの革新的技術によって実現されています。
CyviZenを支える4つのコア技術
▲ CyviZenを支える4つのコア技術
1. Shamir's Shared Secrets(秘密分散法)
鍵はN分割され、K未満では再構成不可能。鍵が「存在しない」のが通常状態。
- 暗号鍵を複数の断片に分割し、単独では意味を持たない状態で保管
- 単独の管理者・OS・ベンダーでは解読不能
- 完全前方秘匿性(Perfect Forward Security) を実現
- TEEやTPMのように特定のハードウェアメーカーに依存しない
従来のTEE/TPMは「Register 1(所有鍵)を設定した主体」に対してのみ有効に機能し、その所有鍵は通常ハードウェアメーカーによって設定され、MicrosoftやGoogleに委譲されています。CyviZenはこの問題を根本から解決しています。
2. VM全体暗号化(AMD SEV / SEV-ES)
仮想マシン全体をCPUレベルで暗号化。ホストOSですらVMの中身を見ることができない。
- 専用の暗号化機構を用いてVM全体を暗号化
- ホストOS/ハイパーバイザーから完全に不可視
- 管理者権限でも中身は見えない
- クラウド管理者からもアクセス不可能
これはTEEとはまったく異なるアプローチです。TEEが「鍵を保持し単純な計算を行うコプロセッサ」であるのに対し、AMD SEVはVM全体を暗号化する包括的なソリューションです。
3. Ephemeral OS(消えるOS)
起動時に構成、ログアウト時に完全分解。永続状態を持たない。
- 再起動するたびにクリーンな初期状態へ復元
- メモリ常駐型マルウェアを無効化
- ランサムウェアの「暗号化対象」が存在しない
- フォレンジック調査に対する完全な耐性
Velvet Antが「メモリに潜伏し続けた」ことを思い出してください。Ephemeral OS環境では、そもそも「潜伏し続ける場所」が存在しません。
4. レニテントデータ(抵抗するデータ)
盗まれても中身が自動的に「不可視化」され、解読不能となるデータ保護技術。
- ハードウェア指紋と連携した強力な暗号化
- デバイス盗難時でもデータの読み出しを防止
- 「データを人質に取る」ことが構造的に不可能 → ランサムウェア対策の切り札
身代金を要求されても、攻撃者が手に入れたデータは意味を持たない羅列でしかない。脅迫そのものが無意味化します。
「トラックレス・プロファイル」── BYODの課題も解決
CyviZenにはもう一つ、トラックレス・プロファイルという技術があります。
一台のデバイス内で「個人環境」と「業務環境」を物理的に近いレベルで分離。相互のデータアクセスや干渉を完全に遮断します。
リモートワークやBYOD(私物端末利用)が当たり前になった今、「私用のSNSアプリから業務データが漏洩」といったリスクは現実のものです。トラックレス・プロファイルは、端末を2台持つ必要なく、この課題を解決します。
競合との違い:なぜCyviZenなのか
「エフェメラル」な環境は、実はTails OSやWhonix、Qubes OSなど、オープンソースの選択肢も存在します。では、CyviZenの差別化ポイントは何でしょうか?
▲ CyviZenと競合製品の機能比較
CyviZenの優位性は、単なる「検知」や「匿名化」ではなく、ビジネス運用に最適化された「存在させない」セキュリティを提供することにあります。
- EDR/XDR: 検知・対応型。ゼロデイやメモリ常駐型には後手に回る
- Tails OS: ジャーナリスト・活動家向け。匿名性重視だがビジネス用途に不向き
- Whonix: セキュリティ的に安全とは言えない課題がある
- Qubes OS: CyviZenでも同様のアプリケーション分離が可能であり、さらにVM全体暗号化を追加
CyviZenはShamir's Shared Secrets+AMD SEV/SEV-ES+Ephemeral OS+レニテントデータを組み合わせ、ログ管理、権限設定、既存インフラ連携など、企業が実際に運用する上で必要な機能が考慮されています。
誰のためのソリューションか
CyviZenが特に有効なのは、以下のような環境です:
-
研究開発・知財保護 (R&D)
機密性の高い設計データや特許情報を扱う環境 -
規制産業(金融・法務・医療)
厳格なコンプライアンスが求められる業界 -
リモートワーク & BYOD
セキュアでない家庭内ネットワークや私物デバイス利用時の公私分離 -
政府機関・防衛関連
国家レベルの脅威アクターを想定した保護が必要な組織
導入を検討するなら
CyviZenに興味を持たれた方は、以下のステップで検討を進めることをお勧めします。
短期(1-3ヶ月)
- サイヴィゼンジャパンへのコンタクト・製品デモの依頼
- 価格体系・ライセンス・サポート内容の確認
- YouTube対談動画による技術理解の深化
中期(3-6ヶ月)
- 特定部門(R&D、経営層など)でのPoC(概念実証)実施
- 既存セキュリティ体制・インフラとの統合評価
- Tails OS等の類似ソリューションとの比較検証
長期(6ヶ月以降)
- 多層防御の一層として段階的導入
- FortiGate等のネットワーク機器との組み合わせによる包括的保護
- 運用プロセスの確立とユーザートレーニング
まとめ:セキュリティの「次の一手」
Velvet Antの事例が示したのは、従来の「守る」セキュリティには構造的な限界があるということです。
どれだけ高度なEDRを導入しても、メモリ上で動作し痕跡を消すマルウェアには後手に回らざるを得ない。攻撃者は常に新しい手法を開発し、防御側を出し抜こうとします。
CyviZenの「コンテキスト再構成」
CyviZenの真の革新性は、4つの技術がコンテキスト再構成という概念で統合されていることにあります。
正しいOS × 正しいVM暗号状態 × 正しい鍵断片
正しいユーザー × 正しい時間
→ すべてが揃った瞬間だけ、データに"意味"が出現する
経営視点での価値
この技術構造がもたらす経営上のインパクトは絶大です:
✔ 情報漏洩が成立しない
✔ 内部不正が技術的に不可能
✔ 管理者リスク・委託先リスクを排除
✔ 事故後の説明責任・謝罪・IR対応が不要
「データを守る」のではなく「漏洩という事象を起こさせない」
セキュリティ対策の「次の一手」として、検討に値するソリューションではないでしょうか。
お問い合わせ先
サイヴィゼンジャパン / CyviZen Japan
日本市場責任者:岩崎 義久
📞 03-6555-5014
✉️ yiwasaki@cyvizen.art
🌐 https://www.cyvizen.art / https://www.cyvi.co
※本記事は公開情報に基づく調査結果であり、製品の性能や有効性を保証するものではありません。導入検討にあたっては、ベンダーへの直接確認と独自の検証を推奨します。