アズジェントは2016年8月23日、社内に侵入したマルウエアや攻撃者の活動を、実際には存在しない偽りのサーバー情報を利用して妨害するタイプのセキュリティソフト「illusive Deceptions Everywhere」(図1)を強化したと発表した。新機能として、暗号化ランサムウエアを検知してブロックする機能を追加した。価格(税別)は、端末5000台の場合に1端末当たり年額9840円。開発会社は、イスラエルのイリューシブネットワークス。

図1●illusive Deceptions Everywhereのイメージ(左は攻撃者からみたネットワーク、右は実際のネットワーク)
図1●illusive Deceptions Everywhereのイメージ(左は攻撃者からみたネットワーク、右は実際のネットワーク)
(出所:アズジェント)
[画像のクリックで拡大表示]

 illusive Deceptions Everywhereの管理サーバーは、社内LAN上でActive Directory管理下にあるパソコンなどの端末にリモートアクセスし、メモリーキャッシュ情報を書き換える。実際には存在しないFTPサーバーやデータベースサーバーに対するログイン情報や、Webブラウザーの閲覧履歴などを、デコイ(偽情報)として埋め込む。

 これにより、社内LAN上の端末に侵入したマルウエアや攻撃者は、偽りの情報を利用して偽りのサーバーにアクセスしやすくなる。偽りの情報によって、社内LANは、実際のネットワークよりも多くの端末が存在する「迷宮」となるので、攻撃すべきターゲットを発見しにくくなる。

 マルウエアが偽りのサーバーにアクセスすると、アクセス先はillusive Deceptions EverywhereのTrapサーバーになっている。Trapサーバーは複数のIPアドレスを持っており、多数の偽りのサーバーとして機能する。Trapサーバーへのアクセスによって、マルウエアや攻撃者の活動を検知できる。

 今回の機能強化では、端末のファイルを暗号化して身代金を要求する暗号化ランサムウエアに対抗する「Advanced Ransomware Guard(ARG)」と呼ぶ機能を追加した(図2)。Trapサーバー上のファイル群へのネットワークショートカットとなるデコイ(偽ファイル)を社内LAN上の端末に置くことで、ランサムウエアによる暗号化をTrapサーバー側で検知する仕組みである。

図2●ランサムウエアを検知した画面
図2●ランサムウエアを検知した画面
(出所:アズジェント)
[画像のクリックで拡大表示]

 アズジェントによれば、デコイのファイル名や属性などを工夫していることによって、ランサムウエアはまず最初にデコイを暗号化するとしている。デコイを暗号化すると、Trapサーバー上にある大量のファイル群を暗号化することになるので、端末上の実ファイルを暗号化するまでの時間を稼ぐことができる。この間に、デコイを暗号化しているランサムウエアのプロセスを調べ、これを停止させる。