ニュース
PCのメモリをリアルタイム分析してマルウェアを検出する「RSA ECAT」
独自技術で「シグネチャ要らず」を実現
(2013/12/17 14:32)
EMCジャパン株式会社は17日、PCに侵入したマルウェアをシグネチャを使わずに独自の技術で検出するエンドポイントフォレンジックツール「RSA ECAT」を発表した。
昨今、標的向けに作成したマルウェアを用いて、特定の企業だけに感染させる標的型攻撃が流行している。マルウェアの種類は爆発的に増えており、アンチウイルス製品はシグネチャ更新の迅速化が命題となっているが、標的型攻撃を意図して作られたマルウェアは、感染が局所的で侵害範囲が狭く発見しにくいため、シグネチャの更新が遅れる可能性が高くなる。
RSA ECATは、シグネチャを使わないマルウェア検知ソフト。マルウェアの検知と感染個所の特定を迅速化できるのが特徴。仕組みは、PCにインストールされたRSA ECATエージェントがメモリの分析をリアルタイムに実行し(ライブメモリ分析)、検出した侵害の痕跡やマルウェアの動作をRSA ECATサーバーに通知。通知を受け取ったサーバーは、組織内の感染PCをすべて検出し、侵害の規模を迅速に測定するという。
ライブメモリ分析は、メモリに展開されているアプリケーションイメージと、物理ディスク上のアプリケーションイメージをエージェントが比較して、実行中のすべてのアプリケーションを検証する。例えば、メモリ上のアプリケーションイメージに、コードインジェクションのようなマルウェアが生成する異常を検出すると、そのアプリケーションは侵害された可能性があると判断する。「シグネチャを使わず、メモリ内でマルウェアに変更されたアプリケーションプログラムを特定する画期的なマルウェア検出技術」(同社)とのことだ。
物理ディスクのファイルとメモリ上で動作するプロセスを比較する同手法のほか、エンドポイントから出入りするネットワークトラフィック統計情報を参照する「ホストベースのネットワーク分析」を組み合わせる。
検出された危険性は、その侵害度合いを「MSL(Machine Suspect Level)」というスコアで可視化し、対策の優先度付けを行ってくれる。また、通常のアプリケーションがコードインジェクションと似た動作をしてスコアが高くなる場合もあるため、最初にマルウェアに感染していない状態(例えば、PCの工場出荷時)の情報を「ベースライン」として保持。「ベースライン」のほか、アプリケーションコード署名の検証や、Microsoft、NIST、Bit9(有償)の3種類の「ホワイトリスト」も参照することで、効率的なスキャンを実現する。
サーバーと複数のエージェントが連携することで、例えば、ほかのエンドポイントのフォレンジック結果と比較することでグレーな状況をより明確にしたり、スキャン済みのエンドポイント情報を使ってほかに侵害されたエンドポイントを迅速に特定したり、「マルウェア拡散状況の把握」が容易となっている。
マルウェアに感染したPCを発見した後は、PCが攻撃者によってすでに遠隔操作されていないか、あるいは、機密情報が窃取されていないかなどの被害を具体的にあぶり出すために、パケットとログを蓄積してリアルタイムでインシデントを検知する「RSA Security Analytics」との連携も可能。RSA ECATから受け取った情報を基にRSA Security Analytics側で攻撃の形跡をいち早く可視化して、標的型攻撃に対する効果的な対策を実施することが可能になるという。
価格は、RSA ECATサーバー1台、RSA ECATエージェント100台の場合で383万円(税別)。あらかじめ重要なエンドポイントにエージェントを導入しておく「プロアクティブ」な利用のほか、RSA Security Analyticsでアラート通知があった際に、該当端末(群)にエージェントを配布しスキャンする「リアクティブ」な利用も可能。「リアクティブ」の場合、同時利用台数が100台に収まっていれば、それ以上の(200台、300台)のエンドポイントに使い回すことも可能という。
EMCジャパンは、RSA ECATやRSA Security Analyticsを導入する上で必要となるアセスメント、製品をインテグレーションするためのコンサルティングサービスなども提供する。また、両製品を使ってプライベートSOCを検討・構築する顧客へのアドバイザリーサービスも提供する。
同社はRSA ECATを官公庁、防衛関連企業、金融業、製造業、通信業などの企業へ提案し、今後2年で40社の導入を目指す。