サービス | Web感染型マルウェア監視

Webページを巡回・監視。Web感染型マルウェアの発見・収集及び、感染時の緊急対応サービス

Web感染型マルウェア監視

Web感染型マルウェア監視 概要

Webブラウザやプラグインなどの脆弱性を利用したDrive-by-DownloadマルウェアなどのWebページ埋め込みを効率的に監視・発見。万が一の感染時には、当研究所の911サービスによる迅速な初動対応を支援いたします。
サイバーディフェンス研究所(サービス)とフォティーンフォティ技術研究所(製品)が共同で提供する監視サービス・緊急対応サービスをワンストップで提供する限定パッケージです。

ガンブラーに代表される、
未然に対応することが困難なWeb感染型マルウェアを効率的に監視・発見します。
  • パターンに依存しない「スーパーヒューリスティック」検出技術
  • 最新のマルウェア動向に対応した監視・運用体制を整備
  • ウイルス感染を検知後、速やかに安全なページへ自動修復
万が一のウイルス感染時、
最新の動向を把握している当研究所の分析官がお客様のもとに駆けつけます。(911サービス)
  • 24時間受付で連絡から24時間(東京23区)を目安に初動対応
  • 高い技術力に裏打ちされた的確な対応で被害を局所化
  • 警察やJPCERTなど、関係機関へのコミュニケーションを支援
  • グローバルなパートナーシップで多義にわたる最新情報を提供

万が一の感染時・・・

ご連絡をいただいてから24時間(東京23区の場合)を目安に、当研究所の分析官がお客様のもとへ駆けつけます。

「情報漏洩911」詳細はこちら

ウイルス感染した場合にやらなければいけないこと
  • Webサイトの停止・無害化
  • 感染経路の洗い出し
  • 再発防止策の策定・実施
  • 関係機関への連絡
  • Webサイト再開の判断
事後対応がうまくいかなかった場合に考えられること
  • ウイルス感染の再発
  • 被害の拡大化、被害者の増大
  • 機能回復の遅延
  • 企業ブランドの更なる失墜

ページトップへ

ウイルス検知エンジンの特長

ZDP(0-Day保護エンジン)

メールやWebページ閲覧時の攻撃など、既知・未知のセキュリティ脆弱性を狙ったマルウェア攻撃を防御。「任意コード実行型脆弱性」の大半を防御。
→修正パッチ未適用のWindows OSも防御可能

Static分析エンジン

プログラムを動作させる事なく分析を実施。 プログラムのコード部、データ部を、汎用性の高い検出ロジックでヒューリスティック分析しマルウェアを検知。

Sandboxエンジン

仮想CPU、仮想メモリ、仮想Windowsサブシステムなどで構成される、仮想的な実行環境「Sandbox」上でプログラムを実行。 システムに影響を与える事なくマルウェアの動作を追跡し、マルウェアを検知。

HIPSエンジン

プログラムのビヘイビアを監視し、不審なAPI呼び出し、他プログラムへの侵入、異常なネットワークアクセス、キーロガー的な動作、バックドア的な動作など、マルウェア独特の処理を検出し、プログラムの実行を中止。

ページトップへ

Gumblar(ガンブラー)型ウイルスによる被害の拡大

なぜ未然の対応が難しいか?
自社内だけのセキュリティ対策では不十分で、かつ委託先を含めたセキュリティの徹底は事実上不可能。また、現状の攻撃の手法は通常のウイルス対策ソフトでは、発見は困難。

今現在、感染活動が進行中...
すでに国内の60サイトが感染し増殖中で、ウイルス対策ソフトでは保護ができないことは、5月に確認済み。本ウイルスに関しても、全検体を確保した企業は一社のみ(2010年現在)

Web感染型ウィルスへの感染によるリスク
  • 対策完了までの業務停止
  • 事故事後対応予防策検証
  • 苦情対応
  • 社会的説明責任

事故対応にかかる被害額 4,800万円?1億円(Webサーバの改ざん被害での算出による)

事故処置にかかる作業
  • インシデントの顕在化・初動対応
  • 被害状況の調査
  • 復旧作業
  • 対外説明
  • 社内体制の整備

ページトップへ

Origma+によるWeb監視の仕組み

Webマルウェア脅威の現状と対策

現状
マルウェア本体は別サーバに設置、ページ改ざんによりマルウェア設置サーバにリダイレクト、Webサーバ側での発見・対応は困難、通常未知マルウェアが利用される

対策:Origma+ Web-Malware Detection System
  • コンテンツ事業者が、自社の提供するWebページを巡回・監視。FFR yaraiのエンジンでWeb感染型マルウェアを効率よく発見・収集、未知、既知マルウェアを問わず発見可能
  • Web感染型マルウェア設置サイトを早急に停止し、顧客や社員への感染被害を食い止める
  • 検体を捕獲し、被害が発生している場合は正確に脅威分析を実施

ページトップへ

Origma+システム構成

Origma+ 基本システム
  • Origma Controller
  • Origma Crawler
  • Origma Exploit Monitor/Malware Collector
  • Origma Alerter
基本システムに加え、監視内容により以下をセットアップ
  • VMWare Player (無償) / Workstation ライセンス
  • VMWare上でゲストOSとして動作するWindowsライセンス
  • 監視アプリケーションのライセンス(例:Microsoft Office 脆弱性監視を実施する場合は、Microsoft Officeのライセンス)
動作環境
  • OS : Microsoft Windows XP/Vista/2003 Server/2008 Serverの各エディション
  • CPU : Pentium 4 1.4GHz以上推奨
  • メモリ : 2GM 以上推奨
  • HDD : 20GB以上推奨

上記環境にて、クロール性能は10,000URL/日
但し、監視対象アプリケーションの種別、ネットワーク速度などによりクロール性能は変動する可能性があります。

お問い合わせ先

Origma+911サービスに関するお問い合わせは、お問い合わせフォームまたは下記までお願いします。

営業部 Origma+911サービス担当
e-mail: sales@cyberdefense.jp
tel:03-3242-8700

ページトップへ