マクニカネットワークスは2008年5月下旬に、米ファイアアイのボット対策アプライアンス「FireEye Botwall」(写真)の販売を開始する。ボットによる通信や感染したパソコン、感染PCに命令を送り込むコマンド&コントロール(C&C)・サーバーなどを特定する。5月14~16日まで東京国際展示場で開催する情報セキュリティEXPOで、実機を初展示した。
ボットは感染したPCに対し、悪意ある第三者がC&Cサーバーを使ってネットワーク越しに命令を送る新種のコンピュータ・ウイルス。感染PCを別のウイルスを感染させたり、同じボットに感染したPCを組織化してスパム・メールの送信やDDoS(分散サービス妨害)攻撃に利用したりする(解説記事)。
FireEye Botwallは、ボットに感染したPCがC&Cサーバーと通信する特性を利用して、ボットを検知する。スイッチを流れるトラフィックを監視し、トラフィックの中でC&Cサーバーと通信するものをボットによる通信と検知する。その際、パケットをキャプチャして通信したファイルを再構成し、ボットを検出する。
C&CサーバーのURLのリストはファイアアイが保有する。FireEye Botwallは通信を監視し、通信のふるまいからC&Cサーバーと疑われるサーバーを発見して自動的にファイアアイに通知する。これにより、ファイアアイは常に最新のC&Cサーバーのリストを提供できるという。
現在のバージョンはボットの検知だけが可能だが、次のバージョンでボットの感染防止機能も搭載する予定。「URLフィルタリングなどと連携して、ボット感染源となる不正改ざんされたWebページにアクセスできないようにする方法などを検討している」(マクニカネットワークス)。
製品は、処理能力が250Mビット/秒の「4100」、1Gビット/秒の「4200」、10Gビット/秒の「4700」の3種類から成る。4100の価格は税込みで441万円から。「当面はインターネット接続事業者や研究機関への販売になるだろう」(マクニカネットワークス)という。
