標的型攻撃に使われたマルウェアを数時間で特定、事故対応の支援サービス：S＆Jとセキュアブレインが共同開発

S＆Jコンサルティングとセキュアブレインは、標的型攻撃を受けた際の事故対応に特化した「標的型攻撃被害復旧支援サービス」を共同開発し、3月1日から提供を開始する。

[＠IT]

　S＆Jコンサルティングとセキュアブレインは2月28日、標的型攻撃を受けた際の事故対応に特化したセキュリティサービス、「標的型攻撃被害復旧支援サービス」を共同開発したことを発表した。3月1日からサービスの提供を開始する。

　標的型攻撃被害復旧支援サービスは、未知のウイルスを用いた標的型攻撃を受けた際の検体抽出と、それに基づくパターンファイルの作成、組織内の検査までを支援するサービスだ。既存のセキュリティソリューション、中でもパターンファイルに基づいて既知のウイルスを検出するタイプのセキュリティ対策では完全に防ぐことが難しい、未知のウイルスをすばやく見つけ出すことが特徴だ。

　S＆Jコンサルティングによると、標的型攻撃を受けた組織や企業では、未知のウイルスが使われているために検体の抽出に手間取り、通常業務に回復するまで、数週間から長くて数カ月の期間を要していたという。

これに対し標的型攻撃被害復旧支援サービスでは、未知のウイルスの検体候補を調査する専用ソフト「Disk Excavator for Virus」を同社とセキュアブレインとで共同開発。このツールを用いて、感染PCから作成したHDDレプリカを検査することにより、数時間程度で検体候補のファイルを抽出するという。Disk Excavator for Virusは、セキュアブレインが開発したウイルス検出SDK（S3 Scanner）に、S＆Jコンサルティングのノウハウをルールとして埋め込んだもので、C＆Cサーバと通信している可能性のあるプログラムなどを静的スキャンで検出する。また、事前に米ソースファイア（Sourcefire）のエンドポイント保護製品「FireAMP」を導入することで、ウイルスの感染経路の特定やそれによって漏洩した情報の調査も、短時間で行えるとしている。

　オプションサービスとして、感染したPCから、未知のウイルスに感染していない業務ファイルだけを抽出する作業や、ネットワーク内にほかに未知のウイルスに感染したPCがないかどうかの診断、緊急対応や再発防止策の提案なども行う。

　サービス自体の提供とFireAMPの導入支援コンサルティング、事故後の各種調査、コンサルティングはS＆Jコンサルティングが行い、セキュアブレインはFireAMPの販売を行う。同サービスによる調査費用は、1台当たり15万円。同社によると、これまでの調査費用は1台当たり50万〜100万円に上っていたといい、調査に要する時間だけでなくコストも削減できるという。