トレンドマイクロは2012年4月24日、標的型攻撃を受けているかどうかを把握するためのアプライアンス機器「Deep Discovery」(写真1、写真2)を発表した。脆弱性を突く攻撃ファイルが企業内に入ってきているかどうかを、通信パケットをキャプチャしてリアルタイムに調べて可視化する。Deep Discovery単体では防御の機能は備えないため、必要に応じて別途対策をとる必要がある。5月21日から受注開始・出荷する。
Deep Discoveryは、標的型攻撃の対策となる製品の一つ。メール添付やWebダウンロードなどを介して企業内に入り込んできたファイルを、通信パケットをキャプチャして抽出し、これを解析して、標的型攻撃を検知する。これにより、企業が実際にどのような標的型攻撃を受けているのかが分かる。攻撃内容のレポートを作成するので、これを参考にすれば次の対策につなげることができる。Deep Discovery単体では、攻撃ファイルの侵入を防止したり、削除したりする機能は備えない。
なお、標的型攻撃とは、特定の企業だけをピンポイントで狙った攻撃のこと。不特定多数を狙った攻撃ではないため、攻撃手法は未知のものとなり、パターンファイル(シグネチャの集合知)では検知できない。攻撃手法の多くは、ボットなどと同様に、アプリケーションの脆弱性を突くPDF文書やオフィス文書を開かせ、結果としてバックドアを生成するというもの。
標的型攻撃への対策を考える上で重要なことは、まずは攻撃の可視化であると、ソリューション事業本部部長代行の大田原忠雄氏(写真3)は説明する。「そもそも攻撃を受けているかどうかが分からないことがユーザーの最大の悩み」(大田原氏)である。
サンドボックスで振る舞いを検知し、静的解析へフィードバック
受信したファイルが標的型攻撃であるかどうかを検知する仕組みは、大きく二つある。一つは、サンドボックスを使った動的解析である。ファイルを実際に動作させる環境としてWindows OSやオフィスソフトを導入した仮想マシンを用意する。ここでファイルを開いたり実行したりすることで、どのようなAPIやシステムコールを使っているかなどが分かる。こうした振る舞いを調べて、標的型攻撃かどうかを判定する。標準では3分間の時間をかけて調べ、レポートとして報告する。
もう一つの仕組みは、静的解析である。実際にファイルを開いたり動作させたりすることなく調べる。標準で、23カテゴリーに分かれた500個以上の判定ルールを持つ。判定ルールとして、動的解析から静的解析に情報をフィードバックすることもできる。例えば、動的解析によって攻撃ファイルであると判定したファイルのシグネチャ(ハッシュ値)や、C&Cサーバー(バックドアとなるマルウエアがインターネットを介して通信する、社外の司令塔サーバー)のIPアドレスを、静的解析で利用できる。
経営層向けに定期レポートを作成して説明するサービスも用意
価格(税別)は、以下の通り。本体は、3年間のハードウエア保守が付いて750万円。5年間のハードウエア保守が付いて830万円。別途契約が必須となるソフトウエアサポート(初年度は本体に含まれており、2年目以降に購入が必要)は、年額250万円。
オプションサービスの価格は、以下の通り。本体が出力するレポートについての問い合わせに回答する「基本サービス」が、年額75万円。週次レポートを提供する「インシデントレポート」が、年額250万円。四半期に一度、3カ月間の脅威の傾向と対策をまとめたレポートを作成して、顧客先を訪問して説明する「アドバイザリサービス」が、年額400万円。1カ月間の脅威の傾向と対策をまとめたレポートを作成し、顧客先を訪問して説明する「アセスメントサービス」が、1回当たり100万円。
第5段落の最後で「2時間以内にレポートとして報告する」としていましたが「2時間以内に」を削除して「レポートとして報告する」とします。最終段落で、「基本サービス」の価格を年額7万5000円としていましたが、年額75万円の誤りでした。お詫びして訂正します。本文は修正済みです。 [2012/4/24 16:45]
