不審なファイルの解析で標的型攻撃の予兆を監視、トレンドマイクロが新対策

企業ネットワークへの不正プログラムの侵入を複数の分析手法で監視するというソリューションを新たに提供する。

[國谷武史，ITmedia]

「サンドボックス」を使った動的解析を企業ネットワーク上で行うことで標的型攻撃への対応を早くできるという

　トレンドマイクロは4月24日、企業ネットワークへの不正プログラムの侵入を監視する製品およびサービスによるソリューション「Deep Discovery」を発表した。5月21日に受注を開始する。

　Deep Discoveryは、企業ネットワークに入り込む不審なファイルを分析したり、セキュリティ対策状況をレポートしたり専用装置（アプライアンス）と、オプション提供する運用支援やコンサルティングサービスで構成される。

　アプライアンスではメールへの添付やインターネットからダウンロードされるファイルを、まずウイルス定義ファイルや不正プログラムの特徴に照らして分析し、既知の不正プログラムであるかを調べる。不正プログラムとして特定できないものの、疑いのある場合は、「サンドボックス」と呼ばれる仮想コンピュータ上でファイルを実行（全ファイルも可能）し、その挙動を詳細に解析することで不正プログラムかどうかを判断する仕組みとなる。

　サンドボックスでの解析に要する時間は数分程度で、不正プログラムと判断した場合はトレンドマイクロに情報を提供。同社はこうした情報を定期的に収集して、その他の顧客に定義ファイルなどの形でフィードバックする。

　ソリューション事業本部の大田原忠雄氏によると、企業や組織などを狙う標的型攻撃ではごく少数の不正プログラムしか出回らないため、セキュリティ企業が不正プログラムの情報を入手するまでに時間がかかり、対策が遅れてしまうという課題があった。Deep Discoveryは、企業のネットワーク環境で高度な分析を行うことで、不正プログラムに迅速に対応できるようにするという。

　「当社の調査では標的型攻撃に使われる不正プログラムの7割が文書形式のファイル、3割が実行形式のファイルだった。Deep Discoveryでは不正な文書形式のファイルの発見を中心に、500種類以上の検知ルールを新たに開発した」（大田原氏）

　アプライアンスのレポート機能では不正プログラムの解析結果や、ネットワーク内全体でのセキュリティ対策状況などをリアルタイムに把握できるという。オプションサービスは、多忙なIT管理者を支援するためとして、同社のエンジニアがレポートに関する相談への対応、週次での詳細なレポートの作成・提供を行う。またIT担当役員などにセキュリティ診断や対策のアドバイスなどを行う「エグゼクティブサービス」も用意する。

分析レポートの一例。社内コンピュータに感染した不正プログラムが外部の攻撃者のサーバとどのような通信を行うかを解析した結果

　Deep Discoveryの標準価格（税別）は、3年間のハードウェア保守が付属するアプライアンスが750万円、同5年間のアプライアンスが830万円、導入2年目以降のソフトウェアサポートが年間250万円。オプションサービスは、相談対応の基本サービスが年間75万円、週次レポートが同250万円、エグゼクティブサービスで四半期ごとにアドバイスを提供するサービスが同400万円、診断サービスが1回当たり100万円。同社は販売後1年間で10億円の売り上げを見込む。