4月24日、トレンドマイクロは標的型攻撃の検出を行なうネットワーク監視ソリューション「Deep Discovery」を発表した。価格が750万円からの大企業向け製品で、受注開始が5月21日。
標的型攻撃の検出に特化したアプライアンス「Deep Discovery」
Deep Discoveryは、標的型攻撃に使われることの多いメールの添付ファイルやWebからのダウンロードファイルなどをスキャンして攻撃を検出、これを迅速に管理者に報告するアプライアンスだ。大規模感染を伴わない標的型攻撃は、ウイルス対策ベンダーが情報を入手することが難しく、ウイルスのパターンファイルでの検出が困難。そこでDeep Discoveryでは、パターンファイルや不正URLへの接続、レジストリの書き換えなど500以上のルールによる「静的解析」で不審なファイルを選出。そのファイルに対して、仮想環境(サンドボックス)で実際に動作させる「動的解析」を行なうという2段構えで、攻撃検出を行なうという。
高速な処理が可能な「静的解析」と時間はかかるが精度の高い「動的解析」を組み合わせる
サンドボックスを使った解析は同社のセキュリティラボ「トレンドラボ」でも使われている手法で、擬似的な環境ではなく、実際にWindowsやOfficeをインストールした環境を利用する。この環境で不審なファイルを実行し、利用するAPIやシステムコール、さらに対象ファイルが通信を行なった場合は相手先となるサーバーの信頼性、新たなファイルを作成した場合はそのファイルの内容などを解析する。実行時間は最大3分程度で、この間の挙動から標的型攻撃を発見するわけだ。標的型攻撃はターゲット企業のシステムに合わせた攻撃を行なうが、Deep Discoveryのサンドボックスはユーザー側でOSやアプリケーションの登録が可能となっており、社内システムと同じ環境をアプライアンス内に構築できる。
攻撃を検出した際はリアルタイムにレポートが作成され、管理者向けのダッシュボードに表示される。また、動的解析の結果を静的解析にフィードバックする機能があるため、検出精度が徐々に向上していくという。
状況をわかりやすく可視化するダッシュボードを搭載
なお、Deep Discoveryの基本機能は検出までとなる。検出されたファイルをトレンドマイクロの専用Webフォームから送付し、攻撃と判断されればパターンファイルに反映されるため、同社製ウイルス対策ソフトなどにより駆除が可能となる。パターンファイルへの反映時期は約束されないが、標的型攻撃は潜伏期間が長いため、実際の被害が生じる前の駆除は可能だという。
また、迅速な駆除が必要な企業には、Deep Discoveryのオプション「プレミアムサポートサービス」にて、ファイルを送付してから2時間以内にユーザー専用のウイルス定義情報「ビンテージパターンファイル」を提供するプランを用意。料金は個別見積りとなり、年間数百万円から数千万円程度になるという。
オプションでエンジニアによる充実したサポートサービスも用意する
Deep Discoveryのアプライアンス1台あたりの価格は、ハードウェア3年保守版が750万円、5年保守版が830万円。従業員数が数万人規模の大企業でも、1台でカバー可能だという。2年目以降は「ソフトウェア・サポート・サービス」の購入が必須で、価格は250万円/年となる。
