写真1●マクニカネットワークスのボット検知セキュリティ・アプライアンス「FireEye Botwall」
[画像のクリックで拡大表示]
写真2●ボットの検知状況を可視化したFireEye Botwallユーザー向けサイト
[画像のクリックで拡大表示]
マクニカネットワークスがITpro EXPO 2008 Autumnにおいて,ボット感染の検知に特化した米FireEye製のセキュリティ・アプライアンス「FireEye Botwall」(写真1)を展示している。一般的なウイルス対策ソフトでは検知が困難なボットによる通信や感染PCを検知できる一点豪華主義の製品だ。
ボットはコンピュータ・ウイルスの一種で,セキュリティ・ホールなどを突いてパソコンに感染。司令塔となる「C&C(Command&Control)」サーバーからの指示を受け,DDoS攻撃やスパム・メールの送信などを実施する。待機時はわずかに司令塔と通信する程度で,検知やボットのプログラム特定が難しい。
そこでFireEye Botwallは,ボットとC&Cサーバーの通信に特有のトラフィックを検知し,その内容から仮想マシンとして攻撃側と攻撃対象を再現,それらの挙動を観察する手法を採る。特定したC&CサーバーのIPアドレスやプロトコルといった情報は全世界のFireEye Botwallユーザーで共有して,ボットの検知に使う(写真2)。
価格はオープンだが,参考価格は250万円(税別)から(スループット250Mビット/秒時)。次期版では「Webサイト経由でダウンロードするスクリプトの監査に対応する予定」(説明員)という。
