セキュリティ専業のベンチャー企業である米インフィニット・リーチは、2012年から「Health Check」というマルウエア(ウイルス)検出サービスを提供している。通常のウイルス対策ソフトでは検出できない、企業内のコンピュータに潜んだマルウエアを見つけ出せるという。
特徴は、メモリー上で検出することと、検出ルール(ブラックリスト)をシンプルにしたこと。ソリトンシステムズと組んで日本での展開も予定している。同社のジム・バターワース社長に、同サービスの特徴などについて聞いた。
「Health Check」の特徴は何か。
ファイルの状態ではなく、メモリー上に展開された状態のマルウエアを検出することだ。ファイルの状態では、暗号化されたり難読化されたりして解析が困難なマルウエアであっても、メモリー上ではそれらが解かれて“無防備”な状態になる。プログラムがシンプルになるので、少数のルールでマルウエアかどうか判断できる。
例えば、ファイルとしてのキーロガーは何千種類と存在するが、メモリー上で展開されたプログラムのパターンとしては10種類程度しか存在しないので、シンプルなブラックリストで、高い検出率を実現できる。
メモリーを監視するセキュリティ製品は他にもあると思うが。
確かに、メモリーを監視してマルウエアを検出するとしているセキュリティ製品はある。だが、ブラックリストの作り方が大きく異なる。Health Checkでは、私の長年の知識を生かし、マルウエア作者の行動を想定してブラックリストを作成している。私は1984年から2004年まで米海軍に勤務し、軍のサイバー戦争要員として仕事をしてきた。その後も民間でインシデントの調査などに携わり、たくさんのマルウエアを解析してきた。
今までの経験から、マルウエアの挙動を見れば、どういったプログラム要素が使われているのかがある程度分かるようになった。Health Checkのブラックリスト作成には、その知識を活用している。
Health Checkの実績は。
米国では48社に提供している。いずれの企業においても、一般的なセキュリティ製品では検出できないウイルスをHealth Checkで見つけている。
利用企業の多くは、実際に不正侵入を確認したので、マルウエアが仕掛けられていないかどうか調べてほしいと依頼してきた。他社のマルウエア被害などを目にした経営者が、「うちは大丈夫なのか。念のため調べてほしい」と依頼してきたケースもある。
日本では、ソリトンシステムズと組んでHealth Checkを展開したい。マルウエアなどに関する知識をソリトンシステムズと共有することで、主に日本で感染を広げているマルウエアも検出できるサービスに育てられると考えている。