ネットワールドは2015年7月16日、感染したマルウエアによる情報漏えいを防ぐためのセキュリティ製品「RedSocks Malware Threat Defender」(RedSocks MTD)を発表、同日販売を開始した。犯罪者がインターネット上に用意したC&Cサーバー(司令塔サーバー)との通信を検知してアラートを出す製品である。開発元はオランダのレッドソックス。
RedSocks MTDは、社内LAN上のパソコンからC&Cサーバーに対して接続している通信を検知する。この検知情報は、ルーター/ファイアウォール機器で通信をブロックしたり、運用担当者が通信元のパソコンからマルウエアを駆除したりすることに利用できる。
「サイバー攻撃の70%は成功する。ほぼすべての企業は何らかの形でマルウエアに感染済みだ」――。開発元のレッドソックスでCSO(Chief Strategic Officer、最高戦略責任者)を務めるピム・コーネリセン氏(写真)は、同社を設立した背景をこう指摘する。「従来の対策はマルウエアに感染しないようにするものだった。これからはマルウエアに感染している前提に立った対策が必要だ」(コーネリセン氏)。
レッドソックスによると、企業がマルウエアに感染してから検知するまでの平均日数は、2012年時点で400日、セキュリティ技術が進歩した2015年現在でも205日と長期にわたる。およそ7カ月間、マルウエアを介して情報を盗み出されてしまう状態になっている。こうした背景から、感染済みのマルウエアとC&Cサーバーの通信を検知することが急務という。
IPアドレス/URLリストと突き合わせてC&C通信を判定
RedSocks MTDはハードウエアアプライアンス機器であり、次のような仕組みで動作する(画面1)。
まず、社内のルーター/ファイアウォール機器などからNetFlow/IPFIXのフロー情報(IPアドレス、URL、ポート番号、TCP/UDP、タイムスタンプなど)を収集。判断材料となる社内のトラフィック情報はフロー情報だけであり、トラフィックのデータの中身は一切見ない。
次に、フロー情報を基にC&Cサーバーとの通信を検知する。具体的には、レッドソックスのデータセンターから配信されたC&CサーバーのIPアドレス/URLのリストと、フロー情報を突き合わせる。通信先がC&Cサーバーのリストと合致しない場合は、振る舞い検知によって通信先がC&Cサーバーであることを推定する。例えば、外部サーバーとの通信のインターバル(間隔)の特徴をチェックする。最大で3日間分のフロー情報を基に振る舞いを調べる。
1日35万件のマルウエア検体からC&C情報などを抽出
C&CサーバーのIPアドレス/URLのリストは、レッドソックスのデータセンターからRedSocks MTDアプライアンスに対して30分に1回の頻度で転送して更新する。このデータベースには、マルウエアが自身を偽装するために利用する公開プロキシーサーバーの情報や、マルウエアがIP情報を得るために利用するIPチェックサイトの情報も含まれる。
レッドソックスは、C&Cサーバーのリストを生成するに当たって、外部から情報を購入するほか、自社でも調べる(画面2)。例えば、1日当たり35万件以上のマルウエア検体をサンドボックス環境やベアメタル環境で実行させ、マルウエアの特徴やC&CサーバーのIPアドレス/URLを抽出しているという。
2015年9月には、C&CサーバーのIPアドレスなどの情報をルーター/ファイアウォール機器との間で共有する仕掛けとして、STIX/TAXIIに準拠する。これにより、同規格に準拠したルーター/ファイアウォール機器と組み合わせることで、C&Cサーバーとの通信を検知すると、これをブロックするという連携を自動化できる。
RedSocks MTDの価格(税別)は、帯域によって異なる。最小構成となる150Mビット/秒までの場合、初年度(ハードウエアアプライアンス込み)が423万円、次年度以降が年額139万5000円。ルーター/ファイアウォールがNetFlow/IPFIXに対応していない場合のためのプローブ装置「RedSocks Probe」は、初年度が105万円、次年度以降が15万円。
