Enterprise Watch
最新ニュース

「仮想環境でボットの動作を再現」、ボット対策専用アプライアンス「FireEye Botwall」


FireEye Botwall
 インターネットを利用する上での脅威のうち、ボットは必ずしも新しい脅威ではないが、近年では膨大な数の亜種が登場しており、企業にとっても、依然として大きな問題であることは間違いない。米FireEyeは、このボット対策に特化したセキュリティソリューションを提供しているユニークな企業で、国内でも、マクニカネットワークス株式会社が取り扱うことを発表。5月16日まで東京ビッグサイトで開催されている「情報セキュリティEXPO」で、実機を展示している。

 FireEyeは2004年に創業された非公開企業で、2006年から、アンチボットネットプロテクションアプライアンス「FireEye Botwall」を提供している。一般的に、ボット対策はウイルス対策製品やIPSなど、既存のセキュリティ製品を利用して行われるケースが多い。しかしFireEyeのインターナショナルセールス担当副社長、ミコ・キュウカネン氏は、「従来型の脅威であれば、ファイアウォールやIPS、アンチウイルスなど、たくさんのセキュリティ技術があるが、それではすでに対応しきれなくなっている」と指摘する。

 その理由は、膨大な数のボットが登場しているからだ。ボットによっては、ソースコードがインターネット上に公開され、簡単に亜種が作れるものもあるし、単機能化を進めて、発見されにくくするような試みもされている。アンチウイルス製品の場合、未知のウイルスを検知する振る舞いベースの技術もさまざま登場してはいるものの、依然として中心はシグネチャによるパターンマッチング手法が主流。キュウカネン氏は、「アンチウイルスベンダーでは、検体を入手したらシグネチャを作って対応するリアクティブな対応にならざるを得ないため、すでに対応は限界。また1つの企業だけを狙う、といったターゲットを絞った攻撃では、ベンダーも検体を入手しきれないので、そもそもシグネチャが作れない」と述べ、従来型の手法ではもはや限界と主張する。

 IPS/IDSを利用する場合でも、シグネチャを利用した方式では検知しきれない可能性が高く、さらに誤検知をどう排除するか、といった問題があるため、やはりボット対応には限界があるとのこと。そこで、既存セキュリティ製品を補完する、FireEye Botwallのような製品が必要になってくるというのだ。


米FireEyeのインターナショナルセールス担当副社長、ミコ・キュウカネン氏
 FireEye Botwallでは、ボットがC&C(Command&Control)サーバーから通信を受けて行動するという原理を利用して検知を行う。具体的には、ネットワークスイッチのミラーポートなどに接続し、ネットワーク内を流れるデータをチェック。ボットからの通信と思われるトラフィックをキャプチャする。この段階では、フォールスネガティブを防ぐため、明らかに怪しいものはもちろん、少しでも疑わしいものについては拾い上げていく。

 そして、キャプチャしたトラフィックをアプライアンス内の仮想環境で再現し、本当にボットによる通信かどうか、感染したPCはどれか、といった点を判断する仕組み。この仮想環境は、「Microsoftの正規ライセンスを使ったOS(Windows)環境」(キュウカネン氏)であるのが特徴で、「x86ベースのまったく同じ命令セットを実行可能。コードをステップバイステップでチェックすることもでき、細かい挙動をすべて記録に残すこともできる」という。

 また、こうした単体の動作のみならず、多数のアプライアンスを連携させた「ボットウォールネットワーク」を構築しているのも同社の強み。「C&Cサーバーの所在情報を共有することで、例えば、フィンランドで検知されたロシアのC&Cサーバーの情報を日本のアプライアンスへ送るようなことも可能。ワールドワイドでの対策が実現できる」(キュウカネン氏)。

 なお、FireEye Botwallでは検知だけを行い、ブロック機能は提供しないため、実環境では、スイッチや無線LANアクセスポイント、DNSサーバーといったネットワーク機器と連携して通信を遮断することになる。現状でも、設定を変更させるスクリプトをネットワーク機器へ送って自動対応させることもできるというが、無線LANベンダーのAruba Networksなどと協業も進めており、柔軟な対応が取れるようにしていく考えである。

 一方、感染したPCのボット駆除についても、現状ではアンチウイルスベンダーとは連携していない。「1つのボットを駆除しただけで、ボットが完全に消えて、クリーンになったのかどうかを判断しづらい」(キュウカネン氏)ことから、実際には、ボット感染が判明したPCは、再セットアップを行ってしまうことが多いようだという。

 製品のラインアップには、最大250Mbpsまで対応できるエントリー機種「モデル4100」、同1Gbpsの中位機種「モデル4200」、10Gbpsに対応可能な最上位機種「モデル4700」と、処理能力に応じて3種類を用意した。価格は、モデル4100が420万円(税別)から。導入対象としては、ISPやキャリア、研究機関などを想定し、5月下旬から販売を開始する予定である。



URL
  マクニカネットワークス株式会社
  http://www.macnica.net/
  ニュースリリース
  http://www.macnica.net/pressrelease/fireeye_080512.html
  米FireEye
  http://www.fireeye.com/


( 石井 一志 )
2008/05/15 17:47

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.