アシストは2014年11月17日、標的型攻撃の早期発見などを目的としたログ分析システムを構築するSIサービス「セキュリティログ分析ソリューション」を強化すると発表した。具体的には、マルウエアが通信する外部サーバーのドメインリスト「Black Domainリスト」を月額制で提供する。これにより、ログに現れるマルウエアの動作をレポート化して把握出来るようになる(写真)。
前提となるセキュリティログ分析ソリューションとは、アシストが2014年5月から提供している、ログ分析システムの構築SIサービスである(関連記事:アシスト、標的型攻撃の検知でログ分析システムの構築サービス)。ログ分析ソフトには、原則としてインテックが開発した「LogRevi」を使う。アシストは、標的型攻撃対策や個人情報漏洩対策といった用途ごとに、LogReviで使えるレポートテンプレートを用意している。標的型攻撃対策のテンプレートを使えば、標的型攻撃の予兆検知/早期発見ができるという。
このテンプレートを使って発見/レポート化できる攻撃の例に、バックドアの開設/情報流出がある。レポートでは、WebアクセスログのURLを、攻撃などの種類に合わせてカテゴリー分けして一覧表示する。この他に、サーバーへのログインの失敗や重要ファイルへのアクセスの失敗、特権IDによる機密ファイルへのアクセス、外部へのファイル送信、レジストリーの変更、重要ファイルの改ざん/変更、などをレポート化する。
今回の強化では、バックドアの開設/情報流出を検出するための材料として、マルウエアが通信する外部サーバーのドメインリストをオプションとして追加した。このリストを利用すると、アクセスログの中にマルウエアが通信するドメインが含まれていた場合に、このURLをマルウエアのカテゴリーに含まれるものであるとしてレポート化する。
FFRIからマルウエア通信先リストの提供を受ける
従来、こうした危険なドメインのリストは、ユーザーが自前で用意するしかなかった。今回、これを有料のオプションとして用意した。ドメインリストのデータは、標的型攻撃対策ソフトを開発しているベンダーのFFRIから提供を受ける。FFRIが保有しているデータ(マルウエアの通信先URL)からドメイン名部分(ホスト名まで含んだFQDN)を切り出したデータを提供してもらう。ユーザーは、1日1回のペースでFFRIに直接データを取りに行き、更新データをダウンロードする。
FFRIから提供を受けるドメインリストの分量は、2014年10月1日から10月31日までの実績では、1カ月当たり約350件。Black Domainリストのサービスを利用する最初のユーザーが付いた日からかぞえて1カ月前を起点に、それ以後のデータをBlack Domainリスト向けに提供してもらうという。マルウエアが利用する通信先のドメインリストは日々変わるので、直近1カ月ほどのデータがあれば、それで十分という。データの起点となる日時は一定で決まるが、それ以後のデータは日々追記されていく。
サービスの価格(税別)は、レポートテンプレートの仕様書の提供に加えて、実際にレポート出力システムを構築するサービスが、100万円から。システム構築が必要ないユーザー向けには、レポートテンプレートの仕様書の提供が30万円から。今回オプションとして用意したBlack Domainリストは、月額15万円から。別途、ログ分析ソフトであるLogReviのライセンス費用(170万円から)が必要になる。
