EMC Chief Technology Officer RSA,The Security Division of EMC サム・カリー氏

EMCジャパンは6月12日、マルウェアに感染したコンピュータやマルウェア関連サイトの通信先情報の提供により、情報漏洩のリスクを低減させるマルウェア情報提供サービス「RSA CyberCrime Intelligence」を7月2日から販売開始すると発表した。同サービスの価格は年間で456万円(税別)。

Chief Technology Officer RSA,The Security Division of EMCのサム・カリー氏は、「先進的なセキュリティ対策を講じるには、テクノロジーにフォーカスした対策からビジネスリスクにフォーカスした対策にシフトする必要があり、最も重要なのが攻撃を予測できる分析や知識をベースとした対策が重要」と説明した。

「受動的な対策のシナリオ」「予防的な対策のシナリオ」「予見的な対策のシナリオ」を提供する同サービスが、こうした先進的なセキュリティ対策を実現するとした。

EMCジャパン マーケティング部 水村明博氏

同サービスの詳細については、EMCジャパン マーケティング部の水村明博氏が説明を行った。同サービスは、「週次モニタリングレポート」と「日次ブラックリストレポート」を提供することで、企業がマルウェアに感染したPCの特定やPCがマルウェアに感染することをサポートする。

週次モニタリングレポートは、「ドロップサイト」と通信したIPアドレス/BotID、マルウェアによりユーザーIDやパスワードが盗まれたと考えられる情報資産のURL、感染したコンピュータが「ドロップサイト」に情報をアップロードした時間を報告する。

水村氏は、週次モニタリングレポートの使い方について、「顧客企業からは事前に、VPNのアドレスなど必要な情報を提出してもらい、その情報をもとにマルウェアに感染しているかどうかを判断する。企業は週次モニタリングレポートをもとに、感染したPCを発見し、該当アカウントを呈することができるようになる」と説明した。

「RSA CyberCrime Intelligence」で提供する「週次モニタリングレポート」

日次ブラックリストレポートは、同社が運営する研究機関「AFCC」が収集しているブラックリスト情報から、現在活動しているマルウェアの「コマンド&コントロールサイト」や「ドロップサイト」のドメインやIPアドレスをまとめた「Malicious Hostレポート」、24時間以内に活動を開始すると予測されるマルウェアの情報をまとめた「Malicious Hostレポート」から構成される。

水村氏によると、活動が予測されるマルウェアの判断はリバースエンジニアリングによって行っているという。「最近のトロイの木馬は、われわれのようなセキュリティベンダーに発見されることを前提とした構造になっており、一定期間が経過するとドメインが変更される。われわれはこのドメインの変遷を分析することで、24時間以内にマルウェアになるかどうかを見極める」

日次ブラックリストレポートの利用方法としては、「統合ログ管理との連携」や「ファイアウォール、プロキシサーバのブロックリストへの追加」など、他のセキュリティ製品との連携があるという。

「RSA CyberCrime Intelligence」で提供する「日次ブラックリストレポート」

「RSA CyberCrime Intelligence」の仕組み

カリー氏は、競合サービスに対する同サービスの優位性について、「マルウェアに感染したPCへの対策を講じるうえで、どれだけ早く感染しているかを見つけることができるかが重要となる。シグネチャベースのサービスの場合、マルウェアの判断をするのに24時間から2週間ほどかかる。これに対し、世界のウイルスベンダーやISPと情報交換を行っているAFCCが分析を行うCyberCrime Intelligenceでは、数時間でマルウェアに感染したPCを見つけることができるうえ、予防策を打つことができる」と説明した。