ネットワールドは2015年7月16日、オランダRedSocks社の標的型攻撃対策製品「RedSocks Malware Threat Defender」の販売を開始した。RedSocks社とディストリビューター契約を結んだのは、ネットワールドが日本初だという。
RedSocks Malware Threat Defender(以下、RedSocks MTD)は、企業・組織内からインターネットへ流れる、すべてのアウトバウンドトラフィックを監視することで標的型攻撃を検知するハードウェアアプライアンス製品だ。
NetFlow/IPFIXにより、すべてのアウトバウンドのパケットから、IPアドレスやURL、プロトコルなどの必要なフロー情報を抽出して保有。RedSocks社から30分に1回の頻度で送信される、最新のC&Cサーバ情報と照合することで、C&Cサーバへの通信をリアルタイムに検知し、管理者に通知するという。情報の更新頻度は、年内には20分に1回と一層早くなる予定だ。
RedSocks MTDは、ファイアウォールやルーターなどのミラーポートに接続して利用するかたちで、さらにNetFlow/IPFIXによって必要なフロー情報だけを抽出するため、通常の通信への負荷や影響がないことも特徴。
また、RedSocks社からはC&Cサーバ情報を受け取るだけで、マルウェアの検体などを提供する必要はなく、NetFlow/IPFIX対応によりパケットの中身も見ないため、プライバシーや機密情報を外部に出したくない企業にも適しているという。
RedSocks MTDの販売価格は、帯域幅により異なっており、150Mbpsまでの場合で423万円(アプライアンス+初年度サブスクリプション)。
なお、NetFlowは、シスコシステムズが開発したトラフィック監視プロトコル。IPFIXは、そのNetFlowをベースにIETFが標準化したプロトコルだ。
