[新製品・サービス]

TED、感染したマルウエアによる侵食活動をデコイ(おとり)で捕まえて検知する製品

2017年4月18日(火)日川 佳三(フリーランスライター)

東京エレクトロンデバイス(TED)は2017年4月18日、標的型攻撃の出口対策として、社内に侵入したマルウエアの活動をデコイ(おとり)によって捕捉するソフトウエア製品「Deception GRID」を発表、同日販売を開始した。

 東京エレクトロンデバイス(TED)は2017年4月18日、標的型攻撃の出口対策として、社内に侵入したマルウェアの活動をデコイ(おとり)によって捕捉するソフトウェア製品「Deception GRID」(図1)を発表、同日販売を開始した。

図1●Deception GRIDの動作イメージ。あらかじめ社員PC上にデコイとの通信履歴を作成しておく。社員PCに感染したマルウェアは、デコイに対して攻撃をしかける。デコイは攻撃の振る舞いを捕捉し、攻撃を検知する。検知内容に応じてファイアウォールなどと連携して対処し、情報漏えいを防ぐ
拡大画像表示

 開発会社は米TrapX Securityで、TEDは国内で1社めの販売代理店。ライセンスは、コンポーネント単位のサブスクリプション課金となり、標準では年額制となる。販売目標は2020年の2年後くらいまでに5億円。

 背景には、ラテラルムーブメントと呼ぶ、マルウェアに特有の侵食活動がある。マルウェアは、メールやWebなどを介して社員のPCに感染した後、より機密情報を持っていそうなPCやサーバーを狙ってLAN上で侵入を繰り返す。

 今回開発したDeception GRIDは、マルウェアの侵食活動や攻撃のターゲットとなるデコイをLAN上に生成し、攻撃を検知する製品である(写真1)。攻撃者をデコイに誘い込み、デコイの上での活動を監視し、ログイン操作やファイル操作などの振る舞いから攻撃を検知する。

写真1●マルウェアの侵食活動や攻撃を可視化した画面
拡大画像表示

 検知した攻撃に対しては、ファイアウォールや他社製セキュリティ製品などと連携することによって、情報が外部に漏えいしないように対処する。捕獲したマルウェアをサンドボックスに引き渡すといった連携もできる。

エミュレーション型のデコイが動作、実OSのデコイ化も可能

 製品は、デコイを生成して動作させるプラットフォーム「Sensor Appliance」と、Sensor Applianceを管理して攻撃を検知する管理コンソール「TSOC Appliance」で構成する。いずれも仮想アプライアンスの形態で提供する。ネットワークの構成に応じて複数台のSensor Applianceを配置して使う。

 Sensor Appliance上に作成するデコイは、PCやサーバーをエミュレートしたものになる。これとは別に、実際のWindows/アプリケーション環境をデコイ化するソフトも用意している。このソフトをインストールしたWindowsは、TSOC Applianceから見てSensor Applianceの1台に見える。

写真2●東京エレクトロンデバイスのCNカンパニーでCN技術本部クラウド技術部に在籍する冨金原正慈氏

 攻撃をデコイに誘い込む方法は、社員のPC上にデコイとの通信記録をでっち上げて作成しておく、というもの。ブラウザのキャッシュを書き換えるなど、任意のやり方でデコイの情報をPC上に作成しておく。Deception GRIDでは、デコイの情報をPCに反映するための、Active Directoryのログオンスクリプトを生成する機能を持つ。

 Deception GRIDのような出口対策製品の意義について、TEDのCNカンパニーでCN技術本部クラウド技術部に在籍する冨金原正慈氏(写真2)は、「標的型攻撃ではマルウェアの侵入を防ぐことはできないので、感染することを前提とした上で情報を漏えいさせない対策が必要になる」と指摘する。
 

関連記事

Special

-PR-

TED、感染したマルウエアによる侵食活動をデコイ(おとり)で捕まえて検知する製品東京エレクトロンデバイス(TED)は2017年4月18日、標的型攻撃の出口対策として、社内に侵入したマルウエアの活動をデコイ(おとり)によって捕捉するソフトウエア製品「Deception GRID」を発表、同日販売を開始した。

PAGE TOP