EMC ジャパンは、PC に侵入したマルウェアを、シグネチャを使わずに独自の技術で検出する、エンドポイントフォレンジックツール「RSA ECAT」を発表した。企業ネットワーク侵入が目的の、社員の PC を感染させるマルウェアを検出するもの。2014年1月6日より販売を開始する。

EMC ジャパン、PC のメモリをリアルタイムで分析してマルウェアを検出する RSA ECAT を発表
RSA ECAT ロゴ

現在、社員の PC などに向けて作成したマルウェアを用いて特定の企業だけに感染させる標的型攻撃の手口が増えており、感染が局所的で侵害範囲が狭く発見しにくいため、アンチウイルス製品のシグネチャ更新が遅れる可能性が高くなっているという。

RSA ECAT は、PC にインストールされた RSA ECAT エージェントが、メモリに展開されているアプリケーションイメージと物理ディスク上のアプリケーションイメージを比較し、実行中のすべてのアプリケーションの異常をリアルタイムに検証する。シグネチャを使用せずに、メモリ内でマルウェアに変更されたアプリケーションプログラムを特定する検出技術だという。検出した侵害の痕跡やマルウェアの動作は RSA ECAT サーバーに通知され、通知を受け取ったサーバーは組織内の感染 PC をすべて検出し、侵害の規模を測定する。

感染した PC を発見した後は、PC が攻撃者によってすでに遠隔操作されていないか、機密情報が窃取されていないかなどの被害を把握するため、「RSA Security Analytics」と連携して、パケットとログを集積してリアルタイムでインシデントを検知する。攻撃の形跡をいち早く可視化して、標的型攻撃に対する効果的な対策を実施できるという。

同社は、ECAT や Security Analytics を導入するうえで必要となるアセスメント、製品をインテグレーションするためのコンサルティングサービスなどを販売する。