サイバー攻撃の“インテリジェンス”を提供、EMCがマルウェア対策支援サービス

EMCジャパンはマルウェアを使った標的型攻撃から企業を保護する新たなセキュリティサービスを開始する。

[岡田靖，ITmedia]

　EMCジャパンは6月12日、標的型攻撃の脅威に対処するための監視情報レポートサービス「RSA CyberCrime Intelligence（CCI）」を7月2日から提供すると発表した。同社が運営するオンライン犯罪対策組織「RSA Anti-Fraud Command Center（AFCC）」で監視するマルウェア関連サイトの情報を企業のIT管理者などに提供する。

　新サービスではAFCCが収集・分析している世界中のマルウェア関連サイト情報を“ビッグテータ的アプローチ”で集計し、「日次ブラックリストレポート」と「週次モニタリングレポート」の2種類のレポートで提供する。多くの企業が導入しているシグネチャベースのセキュリティ製品の対策効果をより高めていけるよう支援するという。

CCIのサービス全体像

　サイバー攻撃者は企業や官公庁などから情報を盗み取ろうとする際、標的型攻撃によって企業内のPCにマルウェアを感染させる「感染ポイント」、そのマルウェアをコントロールする「コマンド＆コントロールサイト」、盗み出した情報を送り込む「ドロップサイト」などを用いるのが一般的となっている。それらのサイトは頻繁にIPアドレスやドメイン名が変更され、攻撃者が“ブラックリスト”から逃れようとする。AFCCではこうした変化の傾向を分析し、活動中のサイトだけでなく近く活動するかもしれないサイトも予測する。

　日次ブラックリストレポートは、同社が情報の中からその日に活動もしくは24時間以内に活動を開始すると予想されるマルウェアサイトのIPアドレスやドメイン名をリスト化したもの。XMLファイルで提供し、統合ログ管理システムなどに取り込んで利用できるほか、ファイアウォールやIDS/IPS（不正侵入検知／防止）システムに適用することで、マルウェアサイトと社内に侵入した不正プログラムの通信を検出・遮断できるようにする。

日次ブラックリストレポートの例

日次ブラックリストレポートの活用例

　もう1つの週次モニタリングレポートは、マルウェアに感染したPCの存在を早期検知できることを目的とした情報。事前に顧客が提出するグローバルIPアドレスの範囲から社内端末とマルウェアサイトとの間で交わされる通信を検出し、「いつ、どのような」マルウェアが、どのような情報を盗もうとしたのかを報告する。近年の標的型攻撃ではマルウェアに感染したことに気付かぬまま長期間に渡って情報が漏えいしている例が少なくない。被害を軽減するために迅速なマルウェア検知が求められており、それに対応するという。

　サービスの利用価格は年間456万円（税別）。今後1年間で20件の利用を見込む。

週次モニタリングレポートの例

CCIはその他のセキュリティ製品と組み合わせることで、それらの効果を高める役割を果たす