チェック・ポイント・ソフトウェア・テクノロジーズは2012年5月8日、ファイアウォールの機能を拡張するモジュール製品群の一つとして、ボットに感染した社内のパソコンが社外の不正サーバーと通信してしまうことを防止する製品「Anti-Bot Software Blade」(写真1)を販売開始した。いわゆる“出口対策”の製品であり、標的型攻撃を含む一般的なボット攻撃全般に効果がある。価格は年額18万8000円(税別)。
同製品がボットの攻撃を防止する手段は、大きく二つある。一つは、攻撃者が用意した司令塔サーバーとの通信を遮断する機能。同社が作成した司令塔サーバーのアドレスリスト(約2億5000万件、1時間に1回、最新版を配信)に合致するかどうかで判定する。アドレスリストに載っていないアドレスは対象外となる。もう一つは、通信のパターンを分析したり、通信パケットを再構成するなどして解析することで、司令塔サーバーと通信しているかどうかを判断するというもの。
なお、同製品の対象となるボット攻撃とは、社内のパソコンにマルウエア(ボット)を感染させておき、このボットに対して攻撃者から指示を出して、さまざまな動作をさせる攻撃を指す。ボットの用途はさまざまだが、例えば、第三者への不正アクセスや迷惑メールの発信元として機能させる使い方や、ボットを感染させた会社の機密情報を収集する使い方などがある。
入口対策も新版、ハッシュ値DBを300倍に
今回のAnti-Bot Software Bladeは出口対策の新製品だが、入口対策となる既存の機能拡張モジュール「Antivirus Software Blade」の新版も販売開始した。Webやメールを介して社内に入ってくるマルウエアを、シグネチャ(ハッシュ値)の比較やサンドボックス上での動作検知によって検知/排除する。価格はAnti-Bot Software Bladeと同じ年額18万8000円(同)。
Antivirus Software Bladeの新版では、マルウエアのシグネチャ(ハッシュ値)の数を以前の300倍の150万以上へと増やした。さらに、計算したハッシュ値をハッシュ値データベースと突き合わせて判定する作業をクラウドサービスへとオフロード(負荷を切り出す)できるようにした。これにより、自前で判定するよりもスループットが向上するとしている。
