< ブログ一覧に戻る

Sysdig によるマルウェア検知

清水 孝郎
Sysdig によるマルウェア検知
執筆者
清水 孝郎
@
linkedin
Sysdig によるマルウェア検知
@
linkedin
Sysdig によるマルウェア検知
Published:
March 9, 2026
この記事の内容
シスディグによるファルコフィード

Falco Feedsは、オープンソースに焦点を当てた企業に、新しい脅威が発見されると継続的に更新される専門家が作成したルールにアクセスできるようにすることで、Falcoの力を拡大します。

さらに詳しく
Green background with a circular icon on the left and three bullet points listing: Automatically detect threats, Eliminate rule maintenance, Stay compliant, with three black and white cursor arrows pointing at the text.

本文の内容は、2026年3月9日に Mike Watson が投稿したブログ(https://www.sysdig.com/blog/malware-detection-with-sysdig)を元に日本語に翻訳・再構成した内容となっております。

マルウェアはクラウドから消えたわけではなく、進化しています。

クラウドセキュリティについて語る際、私たちは設定やアイデンティティのリスクといったテーマに多くの時間を費やします。しかし、インシデントの大半を占めていないという理由だけで、他の種類のリスクを見失ってはなりません。その一つがマルウェアです。攻撃者が公開されたサービスや脆弱なワークロードの悪用をますます自動化している現在、クラウド環境でマルウェアのリスクを無視できると考えるのは、もはや安全ではありません。

クラウドにおけるマルウェアは、セキュリティチームがエンドポイント領域で慣れ親しんできたものとは異なるという点を認識することが重要です。

クラウドでは、マルウェアははるかに高速で、自動化されており、通常は短命です。迅速なROI(投資対効果)を狙う脅威アクターは、公開されたコンテナで暗号通貨マイナーを起動したり、脆弱なワークロードにバックドアを仕込んだり、ランタイム環境に悪意のあるプロセスを注入したりするなど、さまざまな手法を用います。そしてクラウドのワークロードはエフェメラル(短命)であるため、従来のエンドポイントベースの検知モデルでは、現代のクラウドアナリストのニーズを満たすことができません。クラウドセキュリティチームには、コンテナ化された環境、サーバーレス、そして弾力的なインフラ向けに設計された検知が必要であり、エンドポイント向けの制御を後付けしたものでは対応できません。

また、一部のチームはマルウェア検知のためのルール作成や維持管理に多くの時間を費やしていますが、本来この作業が貴重なアナリストの時間を消費すべきではありません。曖昧なアラートをリバースエンジニアリングしたり、実際に悪意のあるものかどうかを確認するために複数のツールを行き来したりといった、こうした無駄な作業にチームが追われるべきではありません。これらの非効率は急速に積み重なり、対応の遅れ、信頼の低下、そして最悪の場合には…侵害につながる可能性があります。

チームに必要なのは、正確でコンテキストの豊富なマルウェア検知、適切に管理されたルール、そして誤検知の削減です。また、クラウド、ハイブリッド、オンプレミスといったエコシステム全体のどこであっても機能する検知も必要です。さらに、単にアラートを生成するだけでなく、調査や対応へと直接つながる検知が求められています。

Sysdigはクラウドマルウェアに対処します

Sysdigの業界をリードするクラウドにおける検知と対応は、クラウド、ハイブリッド、オンプレミス環境全体にわたり、包括的なマルウェアの検知、ブロック、対応を提供します。これは重要です。なぜなら、現代のクラウド攻撃は非常に速く進行し、マルウェアが常に既知の侵害指標(IoC)や明確な振る舞いの指標によって自らを示すとは限らないためです。ときには、ワークロードに静かに入り込み、実行の機会を待ったり、正規のプロセスに紛れ込もうとしたりします。

そのため、Sysdigのクラウドにおける検知と対応は、YARAルール、シグネチャー、そしてサードパーティプロバイダーからのキュレーションされたフィードを活用し、ランタイム保護に複数の強力なマルウェア検知レイヤーを使用しています。これらのレイヤーは振る舞いベースのランタイム検知を補完し、既知およびこれまでに確認されていない脅威の双方を特定できるようにします。

重要な瞬間にマルウェアを検知

Sysdigは、マルウェアがディスクに保存されたとき、またはワークロード内で実行されたときに検知します。これにより、振る舞い監視やランタイム脅威検知を補完する追加の検知レイヤーが形成されます。また、静的解析と実行中のランタイム防御との間のギャップを埋め、アナリストにより早く、より実用的なシグナルを提供します。

悪意のある振る舞いがアラートを引き起こすのを待つのではなく、Sysdigは攻撃ライフサイクルのより早い段階でマルウェアを特定でき、疑わしい活動がエスカレートする前に検知することができます。

  • 振る舞いが表面化する前にマルウェアを特定
  • 明確な侵害指標(IoC)を生成しない可能性のある脅威を検知
  • 従来のIoCベースの検知手法を回避するペイロードを捕捉

ワークロードがエフェメラルであり、攻撃者が悪用を自動化しているクラウド環境では、その早期のシグナルが、封じ込めと侵害の分かれ目になる可能性があります。

検知だけでなく、ブロックも実現

検知は重要です。しかし、ブロックはそれよりも速く対応できます。

Sysdigのクラウドにおける検知と対応は、マルウェアの実行を直接ブロックでき、悪意のあるバイナリがメモリに読み込まれること自体を防ぎます。1バイトたりともCPUに到達しません。これにより、組織は受動的なアラート対応から、能動的なリスク低減へと移行できます。

つまり、マルウェアはその命令が一つも実行される前に停止されるため、ポリモーフィックマルウェアが変異・永続化・痕跡の消去を試みる可能性といった、後続のリスクを排除できます。

※ ポリモーフィックマルウェア(polymorphic malware):検知を回避するために、自分のコードやシグネチャーを変化させながら拡散するマルウェア

ランタイムでの防御を強制することで、セキュリティチームは受動的な検知から能動的な保護へと移行します。また、アナリストはSysdigの業界最高水準の可視性と豊富なコンテキストを得ることで、調査や対応のワークフローを迅速化できます。これは特に、攻撃の永続化フェーズにおいて、防御側が悪意のある振る舞いを迅速に特定し、阻止する必要がある場面で大きな効果を発揮します。

クラウド環境向けに最適化

従来のマルウェアスキャナーは、多くの場合、重いファイルシステム全体のスキャンや、リソースを大量に消費するスキャン処理に依存しています。動的なクラウド環境では、このアプローチは効率的にスケールせず、コストも高くなり、さらにクラウドで急速に変化するワークロードやコンテナのペースに追いつくには遅すぎます。

Sysdigのマルウェア検知は、現代のワークロード向けに最適化されています。継続的なフルディスクスキャンではなく、ファイルの書き込みや実行イベントに焦点を当てることで、強力な保護を維持しながらオーバーヘッドを削減します。これにより、パフォーマンスとスケーラビリティが重要であり、コストが瞬時に増大する可能性のあるコンテナ、Kubernetes環境、クラウドワークロードに適しています。

その結果、従来型のスキャンモデルに伴う運用上の負担なしに、効果的なマルウェア検知と防止を実現できます。

複雑な環境を網羅しています

現代の組織はもはや単一の環境で運用されているわけではなく、マルウェア検知はワークロードが実行されるあらゆる場所に対応する必要があります。Sysdigのクラウドにおける検知と対応はクラウドに依存しない設計で、マルチクラウド、ハイブリッド、分散環境全体にわたり、一貫したマルウェア検知と防止を実現します。この統合されたアプローチにより、可視性の盲点を減らし、運用を簡素化し、インフラモデルごとに別々のツールやポリシーを用意する必要がなくなります。

コンテナやKubernetesといったクラウドネイティブ環境は、自動化された悪用や暗号通貨マイニングキャンペーンにおける攻撃の主要な標的となっています。Sysdigは、ファイルが書き込まれた瞬間または実行された瞬間に悪意のあるバイナリを検知・ブロックすることで、コンテナ化されたワークロードを保護します。これには、従来のホストベースの可視性が限定されるAWS Fargateのようなマネージドサービスで実行されるワークロードも含まれます。同じ実行ベースの検知機能は、クラウド上またはハイブリッド環境で稼働する仮想マシンや従来型のホストにも適用され、アーキテクチャーに関係なく一貫したランタイム保護を実現します。

オンプレミスのインフラストラクチャー、SaaSプラットフォーム、マネージドクラウドサービス、またはサーバーレス環境にまたがって運用する組織に対しても、Sysdigはすべてのアーキテクチャーにわたり統合された可視性とポリシー適用を維持します。エフェメラルなサーバーレスアーキテクチャーにおいても、悪意のある実行の試みを効果的に監視できるよう検知戦略が最適化されています。その結果、複数のポイントソリューションを組み合わせることなく、クラウドネイティブ、ハイブリッド、従来型インフラ全体で標準化されたマルウェア保護を実現できます。

マルウェア検知におけるSysdig 脅威リサーチチームの役割

舞台裏では、Sysdig 脅威リサーチチーム(TRT)Sysdig Secureのお客様向けマルウェア検知の継続的な進化を推進しています。継続的なYARAルールの開発と改良を通じて、Sysdig TRTは、専門家によってキュレーションされた検知、調整されたポリシー、最適化されたルール、高品質なインテリジェンスフィードをお客様に提供しており、お客様自身が運用上の負担を負う必要はありません。実際、Sysdigは25万以上のキュレーションされたマルウェア検知アーティファクト(YARAルールや継続的に更新されるインテリジェンスフィードを含む)を維持しており、クラウドネイティブ環境全体で既知の脅威、ポリモーフィックな脅威、新たに出現する脅威を持続的に検知できるようにしています。

Sysdigの脅威リサーチャーは、実環境のハニーポットテレメトリ、複数のインテリジェンスソース、新たに出現する脅威データを活用して、YARAを用いた検知の設計、テスト、強化を行っています。これにより、従来の検知手法を回避するよう設計されたポリモーフィックや難読化された亜種を含め、ファイルや実行ファイルに埋め込まれた悪意のあるコードパターンを正確に特定することが可能になります。

その結果、攻撃者の戦術や手法の変化に対応し続ける検知エンジンが実現され、顧客は既知および新たに出現する脅威の双方から保護され続けます。

数値で実感できる運用効果

Sysdig Secureのクラウドにおける検知と対応により、セキュリティチームは最初のシグナルの段階で、明確なマルウェア分類と豊富なコンテキストを備えた高精度のアラートを得ることができます。SOCチームにとっては、より迅速なトリアージと、調査判断における高い確信につながります。CISOにとっては、運用リスクの低減と、より強固なランタイムガバナンスを意味します。

1,400以上の維持管理されたルールと数千件の改善を含むSysdig 脅威リサーチチームによる継続的なアップデートにより、検知は常に最新の状態に保たれ、アナリストにルール作成の負担を追加することはありません。

その結果、シグナル対ノイズ比が向上し、誤検知が減少し、インシデントのトリアージが迅速になります。曖昧なアラートをリバースエンジニアリングしたり、複数のツールを行き来したりする代わりに、チームは脅威を迅速に検証し、封じ込めへと移行できます。

Sysdigは、マルウェアをファイル書き込み時または実行時に検知・ブロックするため、組織は被害範囲(ブラストラディウス)を縮小し、脅威がエスカレートする前に阻止できます。また、クラウド、ハイブリッド、オンプレミス、Kubernetes、仮想マシン、サーバーレス環境にわたって一貫した保護を提供することで、複数のポイントソリューションを組み合わせることなく、統合されたカバレッジを実現します。

まとめ: クラウドスケールの脅威に対応するための設計

マルウェアはクラウドで進化しました。現在では、高速で、自動化されており、短命です。従来のエンドポイント中心のアプローチや手作業によるルール管理では十分ではありません。

Sysdigのクラウドにおける検知と対応は、実行レベルの検知、ランタイムでのブロック、YARAベースのパターンマッチング、そして継続的な脅威リサーチを組み合わせ、あらゆる環境にわたってクラウドネイティブなマルウェア保護を提供します。これにより、マルウェア検知は受動的なチェックリスト項目から、統合されたクラウドネイティブ防御機能へと変わります。

その結果はシンプルです。より迅速な意思決定、運用上の摩擦の低減、そして現代のクラウドインフラに対するより強力なランタイム保護を実現します。

マルウェアはクラウドに適応しました。防御も同様に適応すべきです。

Sysdigがクラウド環境全体にわたるマルウェア検知をどのように最新化できるかをご確認ください。

About the author

No items found.

セキュリティの専門家と一緒に、クラウド防御の最適な方法を探索しよう

デモを申し込む