ネットエージェントは2012年11月20日、企業内にいわゆる「遠隔操作ウイルス」(リモートアクセスツール型トロイの木馬)が潜んでいないかどうかを調査するサービス「遠隔操作ウイルス発見サービス」の提供を開始した。社外のネットワークとの通信に使われるパケットを一定期間全収集して専門化が解析することにより、高い精度で遠隔操作ウイルスを検出できることなどを売りとしている。
料金は、検査を1回のみ実施する「スポットサービス」の場合で、収集するパケットの総容量が1Tバイトまでのプランが200万円となっている。収集するパケット量に比例する形で料金が高くなるという。スポットサービスの他に、年間を通じて検査を実施する「年間サービス」も用意している(価格は個別見積もり)。
遠隔操作ウイルス発見サービスの基本的な流れは、以下のようになる。まず、ユーザー企業のネットワークの出口部分に独自開発したパケットキャプチャ専用機器を1週間設置し、外部との通信に使われたパケットをすべて収集および記録する。次に、キャプチャしたパケットの中から、同社のセキュリティ専門家が遠隔操作ウイルスによるものと疑われる不正な通信がないかどうかを調査する(調査期間は7~14日程度)。
調査終了後、調査結果に基づいて報告書を作成し、ユーザーに提出する。報告書には、感染端末のIPアドレスや不正通信の日時、ウイルスの種類、通信の宛先、感染したことによって考えられる脅威の種類などが記載されるとしている。パケットの収集に使ったハードディスクドライブについては、「調査完了後、データの完全消去を実施する」(ネットエージェント)という。
同社によれば、遠隔操作ウイルスを使った攻撃は、(1)ターゲットごとにウイルス対策ソフトによる検知を回避できる形で作成されるため、感染を完全に防ぐ方法がない、(2)感染してもすぐに表面上目立った被害が露見しないことが多く気付きにくい、(3)感染後も遠隔からバージョンアップが可能なため、いったん企業内に侵入されると駆除するのが難しい、(4)通常のWebアクセスに使うTCP80番(HTTP)やTCP443番(HTTPS)を使うことが多いためポート番号でブロックできず、また不正な通信であることを見抜くのも難しい---といった特徴があるという。
このため同社では、「ユーザー企業が出口対策を実施していたとしても、最終的には“専門家の目視”がないと遠隔操作ウイルスに感染しているのかいないのか、通信が正常なのか危険なのかを判別することは困難である」とし、パケットを全収集したうえで専門家による解析および目視判断を実施できる同サービスのメリットをアピールしている。
