トラフィック分析で内側に潜む脅威を検知
「疑わしき」を検出する、トレンドマイクロが内部脅威向けの新製品
2008/08/20
トレンドマイクロは8月20日、企業クライアントPC内部に潜むさまざまな脅威を可視化し、対処する「Trend Micro Threat Management Solution」を発表した。リージョナルトレンドラボと連動することにより、従来のパターンファイルに基づくウイルス対策ソフトウェアでは検出が困難だった未知の脅威まで検出できることが特徴だ。
Trend Micro Threat Management Solutionは、ネットワークを流れるパケットを監視、分析し、ボットをはじめとするマルウェアの挙動と思われるものを検出する「Trend Micro Threat Discovery Suite」と、その情報に基づいて感染したと思われるクライアントを追跡調査し、復旧処理を行う「Trend Micro Threat Mitigation Suite」の2つのソリューションパッケージを組み合わせたものだ。トレンドマイクロでは、パターンファイルを用いて確実に既知のマルウェアを検出・削除する、従来のウイルス対策製品と相互補完的な役割を果たす製品だと説明している。
Trend Micro Threat Discovery Suiteは、ネットワークを監視するアプライアンス「Trend Micro Threat Discovery Appliance」とその分析・レポートサービスから構成される。アプライアンスは、既存のスイッチのミラーポートなどに接続してネットワークトラフィックを解析し、「ダウンローダに典型的な動きをしていないか」「ボットが発信する特徴的なDNSクエリが流れていないか」など、100近くのルールに照らし合わせて疑わしい挙動を検知する。さらに、トレンドラボと連動し、エンジニアによる解析を加えることで、正確に不正プログラムを特定することが特徴だ。
Threat Discovery Applianceの基本的な動作はビヘイビアベースのIDS/IPS製品と同様だが、トレンドラボのエンジニアによる分析サービスを組み合わせていること、そして外部からの侵入よりも、むしろ社内にそれと知られず潜んでいる脅威の検出に特化していることが特徴だという。
一方、Trend Micro Threat Mitigation Suiteは、処理サーバ用ソフトウェア「Trend Micro Threat Mitigator」と、クライアントPCに導入され、その活動/通信履歴を記録する「Trend Micro Threat Management Agent」という2つのコンポーネントからなるシステムだ。Trend Micro Threat Discovery Suiteで得られた情報を基に、感染源とおぼしきPCの追跡調査を行って根本原因を特定するほか、不正プログラムの削除やシステムの復旧などを行う。
同製品をリリースした背景には、ユーザーが気付かないうちにクライアントに侵入したり、ダウンローダーのように次々と新しいマルウェアをダウンロードさせる、新たなタイプの脅威の増加がある。30数社で行われたというTrend Micro Threat Discovery Suiteのトライアル導入では、ボットが使用するコントロールサーバへのDNSクエリや悪質なURLへのアクセスといった攻撃が検出された。
トレンドマイクロ取締役 日本地域担当の大三川彰彦氏(グローバルサービスビジネスジェネラルマネージャ、グローバルコンシューマビジネスジェネラルマネージャ)は「外部からの脅威にはいろいろなソリューションが導入されているが、まだ問題は起こっている。今回の発表は、内部の脅威に着目し、そこへ新たなソリューションを提供するものだ」と述べている。
Trend Micro Threat Discovery Suiteは9月1日に発売され、価格はThreat Discovery Applianceが1台480万円、Threat Management Servicesは500ユーザーで年額347万2000円から。Trend Micro Threat Mitigation Suiteは11月初旬に発売予定で価格は未定だが、同社の企業向けウイルス対策ソフトウェア「ウイルスバスター コーポレートエディション」や検疫システムとの連携も視野に入れているという。
関連リンク
関連記事
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。