「これから悪意ある活動を開始するサイト」の情報も提供

定期的な情報提供で情報漏えいを未然に防止、EMCジャパン

2012/06/12

 EMCジャパンは6月12日、マルウェアに感染したコンピュータの通信先やマルウェア感染サイトの情報を提供し、企業が速やかに対策を取れるよう支援する情報提供サービス「RSA CyberCrime Intelligence」を発表した。価格は年額456万円で、7月2日から提供を開始する。

 同社は長年、RSA Anti-Fraud Command Center(AFCC)を介して、フィッシング詐欺や金銭詐取を試みるオンライン上の不正行為を監視してきた。また、フィッシングサイトを発見すると、ISPなどと連携して強制的にシャットダウンする「RSA FraudAction」というサービスも提供している。

 これに対しRSA CyberCrime Intelligenceは、AFCCが蓄積する「インテリジェンス」を定期的に提供することで、マルウェアに感染したPCの特定を支援し、情報流出のリスクを早期に押さえ込むことを狙ったサービスだ。マルウェアを仕込んだ悪意あるサーバや犯罪者が利用するコマンド&コントロール(C&C)サーバ、盗まれた情報が蓄積されるドロップサイトなどの情報を定期的に提供し、企業が効率的に対処できるようにする。

emc01.jpg 米EMC セキュリティ部門 RSA CTO サム・カリー氏

 提供する情報は2種類ある。1つは、悪意あるサイトやC&CサイトのドメインおよびIPアドレス情報をXML形式で提供する「日次モニタリングレポート」だ。現在活動中のサイト情報だけでなく、リバースエンジニアリングによって得られた情報を基に、今後24時間以内に活動を開始すると思われるサイトの情報も提供する。このレポートの情報をファイアウォールやプロキシサーバと連携させれば、危険なサイトとの通信をブロックし、重要な情報の流出を未然に防ぐ仕組みを構築できる。

 もう1つは、企業ネットワーク側から不正なサイトやドロップサイトへの通信履歴をまとめた「週次モニタリングレポート」だ。どのIPアドレスから、どの時間に、不正なサイトへの通信や情報のアップロードが行われたかをまとめ、XML形式で提供する。これと統合ログ監視ツールの情報を付き合わせれば、マルウェアやボットに感染したPCを迅速に見つけ出し、対処することができる。

 米EMC セキュリティ部門 RSAのCTO、サム・カリー氏は、「シグネチャに基づく対策は、木の葉一枚一枚にそれぞれ対処するようなもの。これに対しRSA CyberCrime Intelligenceは、木の幹を見て対処する」と説明し、犯罪者の兵站ラインを大本から絶とうとする試みだと述べた。

 「シグネチャに基づく従来型のアプローチでは、マルウェアが発見されてから対策されるまで1日から2週間という時間がかかっており、それが犯罪者側の余裕につながっていた。これに対しRSA CyberCrime Intelligenceでは、発見から数時間、あるいはインシデントが起こる前に止めることができる。つまり、より効率的に対策が取れる」(カリー氏)。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間