EMCは2012年6月12日、マルウェアに関する情報提供サービス「RSA CyberCrime Intelligence」の販売を開始した。
サービスでは、犯罪者が攻撃に使用する拠点の情報をまとめた「日次ブラックリストレポート」と、契約企業からの情報漏洩の可能性を知らせる「週次モニタリングレポート」の2種類のレポートを提供する。
日次のブラックリストレポートでは、同社の研究センターが収集したサイバー攻撃の拠点リストの中から活動中のものを抽出し、ブラックリストとして提供する。具体的には、(1)アクセスするとマルウェアに感染する「感染ポイント」、(2)潜伏中のマルウェアに対して指令を出す「コマンド&コントロールサイト(C&Cサイト)」、(3)マルウェアが盗んだデータのアップロード先である「ドロップサイト」について、ドメインやIPアドレスを知らせる。
レポートには、24時間以内の活動開始が予測されるマルウェアの情報も含む。セキュリティベンダーに発見されることを前提に、ドメインなどを自動的に変更するアルゴリズムを組み込むマルウェアが増加。捕獲したマルウェアをリバースエンジニアリングすることで、近い将来に利用されるIPアドレスを予測できるという。
レポートはXML形式で提供する。ファイアウォールやWebプロキシー、IPS(不正侵入防止)、SIEM(統合ログ管理)など、企業が利用するセキュリティ対策機器に取り込んで、攻撃サイトへのアクセスを遮断するといった使い方を想定する。
一方、週次モニタリングレポートでは、ドロップサイトを監視して、契約企業から情報がアップロードされていないかチェックする。もし、通信を検知した場合は、ドロップサイトにアクセスした企業側のIPアドレスとBotID、アップロードした時刻などをレポートする。契約企業は社内の感染PCを特定して、ネットワークから遮断するなどの対処が可能になる。
価格は1年契約で456万円(税別)。2012年7月2日からEMCジャパンが直接販売する。1年間で20契約の獲得を目指す。すでに複数の企業が試験的に先行導入しているという。