企業が遮断すべきマルウェア通信先サイトをリスト化、毎日提供する「RSA CCI」

EMCジャパンが7月から提供


 EMCジャパン株式会社は12日、同社のセキュリティ部門であるRSA事業本部の新サービスとして、マルウェアによる情報漏えいを低減するための企業向けセキュリティ情報サービス「RSA CyberCrime Intelligence(RSA CCI)」を7月2日より提供すると発表した。PCに感染したマルウェアの接続先になっているサイトなどをリスト化して提供するもので、企業はこの情報に基づいて社内PCからの通信を遮断するなどの対策をとることができるようになる。料金は年間456万円(税別)。

 トロイの木馬やフィッシングなどのオンライン詐欺対策のための情報収集・分析を行っている米RSAの機関「RSA Anti-Fraud Command Center(RSA AFCC)」で把握した情報を元に、「日次ブラックリストレポート」と「週次モニタリングレポート」という2種類の情報をXMLファイルで提供する。

マルウェアの感染とRSA CCIレポート提供の流れ

 日次ブラックリストレポートは、現在活動中のマルウェアおよび24時間以内に活動を開始するとみられるマルウェアの情報を毎日提供するもの。具体的には、アクセスしてきたPCにマルウェアをダウンロードさせる感染元サイト「感染ポイント」、PCに感染したマルウェアに指令を出して犯罪者が遠隔操作するための「コマンド&コントロール(C&C)サイト」、感染したPCから窃取した企業の機密情報や社員のアカウント情報などの送信先となっている「ドロップサイト」のホスト情報(ドメイン名、URL、発見日時)の一覧で、5000~7000件が含まれるという。

 これらのホストの一部は長い期間存在するものもあるが、半数はセキュリティベンダー/機関などに発見された後、9時間から2週間程度で閉鎖に追い込まれるという。そのため、犯罪者も発見されることを想定し、あらかじめ設定した日時が来たら通信先のホストを変更するようマルウェアを作り込んでいる。RSA AFCCでは入手したマルウェア検体をリバースエンジニアリングすることで、近く稼働するホストを予測している。

 RSA CCIの契約企業は、既存のファイアウォールやウェブプロキシーと日次ブラックリストレポートを連携させることで、企業内の端末と該当サイト間の通信が発生した際に遮断あるいはアラートを表示するといった対策や、SIEM(統合ログ管理)製品に日次ブラックリストレポートを取り込み、該当する通信部分のログをインシデントレポートとして抽出するといった活用ができる。

 一方、週次モニタリングレポートは、マルウェアに感染したPCから送信された情報について報告するもの。発見されたドロップサイトにあった情報と、契約企業が使用しているIPアドレスなどの情報を照合し、どの企業から送信されたのか特定。ドロップサイトと通信した端末のIPアドレス、感染したPCがドロップサイトに情報をアップロードした日時、盗まれたと考えられる情報資産のURLなどを報告する。このレポートをもとにして企業は、社内の感染PCを特定して隔離したり、アカウントの停止措置をとることができるようになる。

SIEM(統合ログ管理)製品との連携活用例RSA CCIの効果

 企業の端末からの情報搾取を狙うマルウェアは、メール添付ファイルのほか、感染元サイトへの誘導リンクを記したメールや知人になりすましたSNSのメッセージなどによって標的企業に送り込まれており、従来もウイルス対策ソフトやIDSなどの“入口対策”がとられていた。しかし、検出されないまま社員のPCにたどり着き、情報窃取活動を開始する場合もある。

 RSA事業本部・本部長の山田秀樹氏は、企業の情報漏えい対策として、従来の入口対策では不十分になってきている背景を挙げ、“出口対策”となるモニタリングの強化をするためにセキュリティ業界と顧客企業がいかに迅速に情報(インテリジェンス)を共有できるかが重要と指摘する「。

 RSAのCTOであるサム・カリー氏も“インテリジェンス主導型セキュリティ”の必要性を強調する。RSA CCIの契約企業がレポートを受け取ってから遮断対策などをとるという受動的な活用はもちろん、提供するレポートは単なるブラックリストではなく、顧客企業ごとにテーラーメイドされた情報だと説明。レポートをもとに、今後、企業がどこに重点を置いて調査・対策すべきかなどを検討するといった積極的な活用も考えられるとし、情報セキュリティ対策もこうした予見的な段階に行く必要性があると訴えた。

 EMCジャパンでは、RSA CCIについて、今後1年で20社の契約を目指す。

RSAのサム・カリーCTOEMCジャパン株式会社RSA事業本部・本部長の山田秀樹氏EMCジャパン株式会社RSA事業本部マーケティング部の水村明博氏




関連情報


(永沢 茂)

2012/6/13 11:00