マクニカネットワークスは2014年12月18日、パソコンやサーバー機のようなエンドポイントの上で直接動作する、ホスト型の標的型攻撃対策ソフト「Falcon Host」の新版の提供を開始した。新版では、検知だけでなく、防御の機能を加えた。既知のマルウエアの実行をブロックする機能や、脆弱性を突く攻撃の無効化に有効な機能を追加した。開発会社は、米クラウドストライク。
システムは、個々のエンドポイントにインストールしてOSのカーネルモードで動作する不正行為の検知ソフト(Falcon Host)と、クラウド型で提供する管理サーバー(Falcon Platform)で構成する。プロセスの振る舞いを調べて、不正な挙動やマルウエアの生成などを検知する。振る舞いの特徴をクラウドストライクのデータベースと突き合わせることにより、攻撃者が誰なのか(どの機関なのか)まで調べる(関連記事:標的型攻撃の「攻撃者」を特定するサービス、日本上陸)。こうした情報を、不正攻撃の詳細データの検出などに利用する。
マルウエアの実行をブロックする機能は、既知のマルウエア(ハッシュ値で判定)が見つかった際に、OS上で実行されるのをブロックするものである。既知のマルウエアの判定に利用するハッシュ値は、クラウドストライクから配信されるほか、ユーザーが自前で登録できる。例えば、Falcon Hostがマルウエアを検知した場合、検知画面にマルウエアのハッシュ値が表示される。これを手動で登録する。
脆弱性を突く攻撃を無効化するための機能は、ASLR(アドレス空間配置のランダム化)である。すべてのプロセス(プログラム)について、利用するメモリーアドレスが分からないようにする。これにより、不正プログラムの約80%を無効化できるとしている。価格は都度見積もり。参考価格は、エンドポイント100台の最小構成で300万円程度。
