EMCジャパンは2013年12月17日、エンドポイント向けのマルウェア検出ソフト「RSA ECAT」を発表した。
マーケティング部の水村明博部長
ECATは、プログラムの振る舞いを分析して、マルウェアを検出する「ヒューリスティック検知型」のセキュリティソフト。パターンファイルに依存しないため、未知のマルウェアを検出できる。旧来型のアンチウィルスソフトは、既知のリストと照合してマルウェアを特定するため、マルウェアの“多品種少量化”によって、実効性が低下している。ECATは、それに代わる、新しいマルウェア検出手段として打ち出す。
製品は、PCにインストールして、情報を集めるエージェントソフトと、集めた情報を分析、評価するサーバーソフトで構成する。
エージェントは、メモリーをスキャンし、疑わしい命令を実行するプログラムがないか調べる。例えば、マルウェアはセキュリティ対策ソフトの監視を逃れるため、自らの存在を隠ぺいするような命令を実行することが多い。パスワードなどを窃取するためのキー入力を監視するのも常套手段だ。こうした命令が実行されていないかチェックする。
プログラムがメモリーにロードされた後、変更されていないかも調べる。マルウェアは、実行中のプログラムに不正コードを挿入して、不正行為を肩代わりさせる場合が多いからだ。具体的には、実行ファイルと、メモリーにロードされたプログラムを比較し、差異がないかを確かめる。変更があった場合は、それを指示したプログラムも突き止める。
スキャン1回あたりの時間は4~10分程度。手動、またはスケジュール実行する。リアルタイムではないのか、と気になる読者もいるかもしれない。製品担当者によると、マルウェアは、エクスプローラなど常時稼働しているプログラムに不正コードを埋め込む場合が多いため、定期スキャンでも十分に発見できるという。
結果はサーバーに送信する。サーバーは、エージェントが発見した疑わしいプログラムが、本当にマルウェアであるかどうかを判定する。例えば、実行中のプロセスへのコードの埋め込みは、セキュリティ対策ソフトやDRMといったプログラムも使用する。誤検出を減らすため、複数の手段を使ってプログラムを評価する。
具体的には、(1)既知のマルウェアのリストに含まれているか、(2)ベンダーが発行するデジタル証明書リストと一致するか、(3)PC利用開始時にインストールされていたか、(4)他のマシンに同様のプログラムがインストールされているかといった観点でチェックする。もし、マルウェア感染が疑われる場合は、管理者に通知する。
マルウェアを検出した場合は、ログデータを参考にして、事後対応にあたる。マルウェアがどこに潜伏しているか、どんな手段でセキュリティソフトを回避したか、どんな命令を実行したか、といった情報を記録しているため、原因究明や影響範囲の特定、再発防止策の策定などの負担を減らせる。
なお、ECATの目的はあくまで「検出」であって、不正な命令実行を阻止したり、マルウェアを除去したりすることはできない。マルウェアの摘出やデータの復旧には、別のツールを使う必要がある。
対応OSは、サーバーがWindows Server 2008 R2、エージェントはWindows XP SP2、Vista、7、8、Windows Server 2003、2008 R1/R2。価格は、サーバー1台、クライアント100台の場合で383万円(サーバーライセンスが300万円、クライアントライセンスは83万円)。2014年1月6日から提供開始する。官公庁や防衛関連企業、金融、製造、通信などの企業に提案する予定。今後2年間で、40社の導入を目指す。
1つはプロアクティブ。重要なクライアントに導入して、日常的にモニタリングする
感染源や影響範囲の調査のためクライアントに導入する。
ライセンスは物理マシン間で移し替えることも可能
