Tweet

トラフィック分析で内側に潜む脅威を検知

「疑わしき」を検出する、トレンドマイクロが内部脅威向けの新製品

2008/08/20

　トレンドマイクロは8月20日、企業クライアントPC内部に潜むさまざまな脅威を可視化し、対処する「Trend Micro Threat Management Solution」を発表した。リージョナルトレンドラボと連動することにより、従来のパターンファイルに基づくウイルス対策ソフトウェアでは検出が困難だった未知の脅威まで検出できることが特徴だ。

トレンドマイクロ取締役 日本地域担当 グローバルサービスビジネスジェネラルマネージャ グローバルコンシューマビジネスジェネラルマネージャ 大三川彰彦氏

　Trend Micro Threat Management Solutionは、ネットワークを流れるパケットを監視、分析し、ボットをはじめとするマルウェアの挙動と思われるものを検出する「Trend Micro Threat Discovery Suite」と、その情報に基づいて感染したと思われるクライアントを追跡調査し、復旧処理を行う「Trend Micro Threat Mitigation Suite」の2つのソリューションパッケージを組み合わせたものだ。トレンドマイクロでは、パターンファイルを用いて確実に既知のマルウェアを検出・削除する、従来のウイルス対策製品と相互補完的な役割を果たす製品だと説明している。

　Trend Micro Threat Discovery Suiteは、ネットワークを監視するアプライアンス「Trend Micro Threat Discovery Appliance」とその分析・レポートサービスから構成される。アプライアンスは、既存のスイッチのミラーポートなどに接続してネットワークトラフィックを解析し、「ダウンローダに典型的な動きをしていないか」「ボットが発信する特徴的なDNSクエリが流れていないか」など、100近くのルールに照らし合わせて疑わしい挙動を検知する。さらに、トレンドラボと連動し、エンジニアによる解析を加えることで、正確に不正プログラムを特定することが特徴だ。

　Threat Discovery Applianceの基本的な動作はビヘイビアベースのIDS／IPS製品と同様だが、トレンドラボのエンジニアによる分析サービスを組み合わせていること、そして外部からの侵入よりも、むしろ社内にそれと知られず潜んでいる脅威の検出に特化していることが特徴だという。

　一方、Trend Micro Threat Mitigation Suiteは、処理サーバ用ソフトウェア「Trend Micro Threat Mitigator」と、クライアントPCに導入され、その活動／通信履歴を記録する「Trend Micro Threat Management Agent」という2つのコンポーネントからなるシステムだ。Trend Micro Threat Discovery Suiteで得られた情報を基に、感染源とおぼしきPCの追跡調査を行って根本原因を特定するほか、不正プログラムの削除やシステムの復旧などを行う。

　同製品をリリースした背景には、ユーザーが気付かないうちにクライアントに侵入したり、ダウンローダーのように次々と新しいマルウェアをダウンロードさせる、新たなタイプの脅威の増加がある。30数社で行われたというTrend Micro Threat Discovery Suiteのトライアル導入では、ボットが使用するコントロールサーバへのDNSクエリや悪質なURLへのアクセスといった攻撃が検出された。

　トレンドマイクロ取締役 日本地域担当の大三川彰彦氏（グローバルサービスビジネスジェネラルマネージャ、グローバルコンシューマビジネスジェネラルマネージャ）は「外部からの脅威にはいろいろなソリューションが導入されているが、まだ問題は起こっている。今回の発表は、内部の脅威に着目し、そこへ新たなソリューションを提供するものだ」と述べている。

　Trend Micro Threat Discovery Suiteは9月1日に発売され、価格はThreat Discovery Applianceが1台480万円、Threat Management Servicesは500ユーザーで年額347万2000円から。Trend Micro Threat Mitigation Suiteは11月初旬に発売予定で価格は未定だが、同社の企業向けウイルス対策ソフトウェア「ウイルスバスター コーポレートエディション」や検疫システムとの連携も視野に入れているという。