標的型攻撃対策が専門の米国 Lastline(ラストライン)が、英国、シンガポールに次いで、日本に現地法人「Lastline 合同会社」を設立、日本市場に本格参入するそうだ。

カントリーマネージャには伊藤一彦氏がすでに就任しているが、日本法人設立に際し、米国から CEO の Jens Andreassen(イエンズ アンドレッセン)と共同創設者兼チーフサイエンティストの Christopher Kruegel 氏が来日、記者会見を開催した。

標的型攻撃対策の米ラストライン、日本市場に本格参入
左から伊藤氏、Kruegel 氏、Andreassen 氏

現在、日本国内での販売パートナーは、テリロジー、SCSK、NTT データ先端技術。テリロジーは過去2年間、Lastline の製品を取り扱っているが、SCSK と NTT データ先端技術とはつい最近代理店契約を結んだばかりだ。

ところで、Lastline とは、いったいどういう企業なのだろうか。

Lastline は、セキュリティ研究機関やセキュリティベンダーが利用するバイナリファイル分析「Anubis」(アヌビス)、Web サイト脅威分析「Wepawet」(ウェパウェット)の開発者により、2011年に設立された。

設立メンバーは、カリフォルニア大学サンタバーバラ校などの教授および研究者。10年以上の研究開発成果を基にした次世代サンドボックス技術を製品化、APT(Advanced Persistent Threat)を含む標的型攻撃やゼロデイ攻撃に特化した、高検知率および低誤検知率のマルウェア防御ソリューションを販売している。

現在、標的型攻撃の多くが、特定の企業や団体に特化した未知のマルウェアを使用しているので、パターンファイルやシグネチャなどを使った従来の手法では検知できない。

だが、Kruegel 氏によれば、仮想マシンベースや OS をエミュレーションしてシステムコールのみ監視する従来型のサンドボックスとは異なり、Lastline のサンドボックスはフルシステム エミュレーションのアプローチをとっており、マルウェアが実行するあらゆる CPU インストラクション(命令)を監視できるという。

Lastline の次世代サンドボックスはフルシステム エミュレーション
Lastline の次世代サンドボックスはフルシステム エミュレーション

Lastline では、ファイアウォールやアンチウイルスなど、従来の防御システムをすり抜けてマルウェアが侵入しても、その動きを監視し、マルウェアと C&C(Command & Control)サイト間の通信を遮断し、重要な情報が外部に漏えいするのを防ぐことができる。

Lastline はソフトウェアベースのソリューションで、管理モジュール「Manager」、ユーザーのネットワークにインストールする「Sensor」、高精度の解析エンジン(サンドボックス)「Engine」などから構成される。

Sensor は、PC サーバーにインストールしてスイッチのミラーポートに接続するだけで、ネットワーク構成を変更せずに導入できる。収集された情報は Manager に送られ、Engine で解析される。

マルウェアの検知結果は、リアルタイムに Sensor にフィードバックされ、マルウェアが潜むファイル、メール、Web ページ、ドキュメントを検知、遮断してユーザーを保護する。駆除手段がない未知のマルウェアが検知された場合、Lastline は感染端末と C&C サイトとの通信を遮断し、情報漏洩を防ぐ。

Manager は Sensor や Engine を管理し、利用状況の集計レポートと個々のイベントを表示するレポート機能を提供する。各イベントはインシデントに相関づけられて分かりやすく可視化される。C&C サイトへの接続要求日時、感染端末の IP アドレス、宛先 IP アドレス、マルウェアの種類、脅威の度合いなどを管理者にメールで通知する。