レッドソックスが「C&Cサーバーと通信させない」ソリューションで日本上陸：「アウトバウンド通信」に着目

レッドソックス創業者&CSO ピム・コーネリッセン氏

　ネットワールドは2015年7月16日、オランダのセキュリティベンダーであるレッドソックスとディストリビューター契約を結んだことを発表した。ネットワールドでは同日からレッドソックスのハードウエアアプライアンス「RedSocks Malware Threat Defender」の販売を開始する。

　レッドソックスは2014年にオランダにて起業したスタートアップ企業で、同社の製品はネットワークの「アウトバウンド通信」に着目し、マルウエアがC&C（コマンド＆コントロール）サーバーと通信を行うタイミングを検知することに注力している。これにより、マルウエア、APT（Advanced Persistent Threat）などによる標的型攻撃を早期に発見し、自動遮断するソリューションを提供する。

「既に企業はマルウエアに感染している」前提のソリューションを提供

　記者発表会では、レッドソックスの創業者でCSO、ピム・コーネリッセン氏が来日し、同社製品の特徴をアピールした。2014年に起業した若いエンジニアによる組織らしく、同社の哲学として「ネットワークそのものが既にマルウエアに感染している前提」での製品作りを掲げている。この他にも、レッドソックス自身が顧客のプライバシーデータをのぞき見ないこと、国家安全保証局によるバックドアを認めないことを同社の製品作りの哲学として挙げている。

コーネリッセン氏が示した同社の「哲学」。通信の中までは見ないこと、スケーラビリティを確保すること、すぐに利用可能になることなどを信条として活動している

　今回日本でも発売される「RedSocks Malware Threat Defender」シリーズは、レッドソックスによるマルウエアインテリジェンスチームがインターネットを監視／解析し、C&Cサーバーのブラックリストを全ユーザーで共有することで標的型攻撃の進行を止めるタイプの製品だ。ファイアウオール／IPS（Intrusion Prevention System）製品などが持つミラーポートを利用し、NetFlow v9／IPFIXを用いてIPトラフィック情報を収集、同社が持つC&Cサーバーのブラックリストと一致した場合にはアラートを上げるといった仕組みで動作する。このブラックリストは現在1時間に1回のアップデートが行われており、2015年9月をめどにその頻度を30分に1回とする予定だ。ブラックリストにないIPアドレス／ポートなどであっても、振る舞い検知機能で通信を遮断させることが可能だという。

レッドソックス製品の動作概要

　また、同製品は非営利団体のMITREが中心となり技術仕様の策定が進めている、検知指標情報自動交換手順「TAXII」および脅威情報構造化記述形式「STIX」に対応予定で、これらの仕様に対応するファイアウオール／IPS製品と組み合わせることで検知と同時に遮断も可能となる。

　コーネリッセン氏は「サンドボックス製品は攻撃者によって研究されており、回避するための技術が使われている。外から入ってくる攻撃から守るサンドボックス製品のようなソリューションを補完するものとして、“アウトバウンドにフォーカス”したレッドソックス製品を組み合わせれば、より強固なソリューションとなる」と述べた。

　レッドソックスの「RedSocks Malware Threat Defender」は、日本ではネットワールドが販売する。出荷開始は2015年7月16日で、参考価格は150Mbpsまでの場合で423万円（税別、初年度サブスクリプション含む）。