フォティーンフォティ技術研究所(FFR)は2011年10月12日、「標的型攻撃マルウェア検査サービス」の提供を開始した。特定の一企業やその一部門をピンポイントで狙う“標的型攻撃マルウエア”の有無を調べるサービスで、被害があった場合は対策の立案と事後対応もサポートする。こうした標的型の攻撃は、既存のパターンファイルをベースにしたウイルス対策製品では検知できない場合がほとんどだという。
このサービスでは、利用企業のクライアント端末にエージェントプログラムを配布し、実行する。このエージェントは、FFRのヒューリスティック技術を用いたウイルス対策ソフト「FFR yarai」が搭載するエンジンをベースに、標的型攻撃の検出に特化したチューニングを施したもの。WindowsパソコンおよびWindowsサーバーで動作する。
エージェントは端末のファイルシステム内をスキャンし、マルウエアの疑いがあるファイルを収集。エージェントは厳しめに判定・収集するため、通常のファイルもマルウエアの疑いがあると判定される可能性がある。そのため、FFRの専門アナリストがファイルの概要調査を実施する。マルウエアの疑いが強いものは、検出した端末やファイル情報などを利用企業に報告する。また専門アナリストが、マルウエアの疑いが強いと判定されたファイルのリバースエンジニアリングを実施し、脅威を分析することも可能だ。
サービス料金は次の通り。“基本検査”という位置付けの内容は、検査対象が100台までの場合で200万円程度から。この料金にはヒアリング、エージェントによるスキャンと結果収集、簡易的な分析とオンサイトでの報告会の開催が含まれる。リバースエンジニアリングを含む解析と脅威の分析は、検体1個につき60万円程度から。このほか、“緊急対応としての初動調査”という位置付けの提供内容がある。これは標的型攻撃マルウエアに感染している疑いがある数台の端末をオンサイトで検査するという内容で、料金は1回30万円程度。
