トレンドマイクロは4日、企業向けの統合セキュリティ製品「ウイルスバスター コーポレートエディション8.0」を発表した。新機能をプラグイン形式で追加できる「プラグイン対応フレームワーク」を新たに搭載し、メジャーバージョンアップを待つことなく新技術の利用が可能となる。プラグインは他社製のものも提供される可能性があり、まずは今年後半以降に同社製の「バックアッププラグイン」が提供される予定。また、従来のオプションサービス「ダメージクリーンナップサービス」を一新し、新たにWebレピュテーション機能を加えた「Webセキュリティサービス」の提供も開始する。28日から販売を開始する予定。

「Webセキュリティサービス」のWebレピュテーション機能は、クライアントPCがアクセスするWebサイトの情報を、トレンドマイクロのURLデータベースとWeb評価データベースで構成される「Webレピュテーションサーバ」の情報と照合させて危険度を判断し、アクセスをコントロールする機能。接続先のIPアドレスやドメイン情報、URL(アクセス先のフルURL)を同社の「Webレピュテーションサーバ」に送信し、危険度を照合する。

WebブラウザからWebサイトへアクセスした場合だけでなく、不正プログラムがHTTPプロトコルを利用して通信(put/get)した場合も接続をブロックするのが特徴

Webレピュテーション機能追加の背景には、亜種とシーケンシャル攻撃の増加が挙げられる。前者においては、従来のパターンファイルによる対策が原理的に後手の対応となること、そして亜種の数の増加により完全なパターンマッチングが困難になってきていることが主な要因となる。

後者においては、Webから次々と不正プログラムをダウンロードするダウンローダ型のマルウェアが増加傾向にある点が要因となる。従来の感染経路は、メールに添付された不正プログラムなどが主流だったが、現在はダウンローダがHTTP通信で利用されるポート80番を利用し、機能ごとに不正プログラムをダウンロードする傾向にあるという。トレンドマイクロ プロダクトマネージャーの小林伸二氏はダウンローダについて、「攻撃側には非常に便利。ほとんど必ず空いている80番ポートを利用して、(不正プログラム)自身を更新することも可能」と話す。

こうした背景から、同社はWebレピュテーションサーバにURLデータベースとWeb評価データベースを設置し、不正なWebサイトへのアクセスをブロックすることでWeb経由の脅威に対抗していきたい考えだ。

URLデータベースは個人向けの統合セキュリティ製品「ウイルスバスター2007 トレンド フレックス セキュリティ」で提供されているURLフィルタリングサービスでも利用されているもの。Webレピュテーション機能の特徴は、Web評価データベースによるドメイン評価にあるといえる。評価の基準としては、主に以下の5点。

  1. 登録年月日: 「不正なサイトはどんどん(登録年月日)が変わる」(小林氏)
  2. 安定性: 「妙にネームサーバやIPアドレスが変わっていたら怪しいといえる」(同)
  3. アソシエーション: 特定のネームサーバが多くのドメインに使用されているか
  4. ファイル: 不正なファイルがホスティングされていないか
  5. スパムに使用されているか: ネームサーバやIPアドレスがスパム送信に利用されているか

80番ポートを利用して外部と通信する際に、随時問い合わせることによってパフォーマンスの低下が懸念されるが、サーバにホワイトリストを持たせることで、イントラネットや顧客のサイト、特に接続の多いサイトを許可することで、Webレピュテーションサーバに問い合わせることなくアクセスが可能となる。ただし、特定のWebサイトへのアクセスを禁止する機能といえる「ブラックリスト」は提供されない。

また、各クライアントのメモリに、URL Key、ResultCode、Category、CredibilityLevel、WrsScore、WrsFactorなどのURLデータを暗号・圧縮して保存。35分間隔でWebブラウザやソフトウェア、不正プログラムなど、ポート80番を利用して通信したプログラムのWebアクセスを記録する。この間にアクセスしたWebサイトには、Webレピュテーションサーバに問い合わせることなくアクセスすることが可能だ。

URLデータベースは「ウイルスバスター2007 トレンド フレックス セキュリティ」でも利用されているデータベース。Web評価データベースは、上に挙げたドメイン評価情報を収納するデータベース。30分おきに更新される

URLデータは各クライアントのメモリに「キャッシュ」として保存され、35分おきに更新される。つまり35分以内にアクセスし、安全と判断されたドメインには問い合わせ無しでアクセス可能とすることで、パフォーマンスの高速化を図った

Webセキュリティサービスではスパイウェア対策エンジンも改良され、ルートキット検出モジュール(RCM: Rootkit Common Module)を追加した。「WindowsのAPIを使っておらず、独自のAPIを利用して検出するのが特徴」だと小林氏は語っている。

また、圧縮形式を変えることでウイルス対策ソフトの検知を逃れようとする難読化に対抗するため、ゲートウェイ向けの検出技術「IntelliTrap」をクライアント側に実装。ヒューリスティック技術を用いた対策だが、小林氏は「HDD全体にこれを適用しても良いのだが、誤検出の可能性もある」ことから、「(WindowsのTempフォルダなど)よくWebからデータが落ちてきそうな場所だけを見る」ことにしたのだという。

ダウンローダが次々と不正プログラムをダウンロードし、検知・駆除してもまたすぐに感染してしまうシーケンシャル攻撃

後手に回ってしまうパターンファイルベースの対策から、新たなアプローチへ

ウイルスバスター コーポレートエディション8.0では、新たにプラグイン対応フレームワークが提供される。「プラグイン機能を持つことによって、コーポレートエディションのバージョンアップを待つことなく、最新の技術を利用可能」(小林氏)で、「他社でも利用できるようなフレームワークを組んでいる」(同)という。今年後半には、バックアップ・リカバリ機能を提供する「バックアッププラグイン」の体験版をリリースする予定だ。

他社製プラグインの展開については、現在「いくつか(の企業)に声をかけている」(小林氏)のが現状で、社名・機能ともに詳しい話は聞けなかったが、セキュリティ関連の機能を提供するものになるようだ。また、プラグインは「基本的には有償」(同)で提供されることになる。

同社では現在、3つのプラグインを開発中だという

標準価格は「ウイルスバスター コーポレートエディション 8.0」が36,000円/5ライセンス(税別、以下同)、「ウイルスバスター コーポレートエディション 8.0 アドバンス」が49,000円/5ライセンス、「ウイルスバスター コーポレートエディション 8.0 サーバ版」が69,000円/20ライセンス、「ウイルスバスター コーポレートエディション 8.0 アドバンス サーバ版」が94,000円/20ライセンス、「ウイルスバスター コーポレートエディション 8.0」。「Client Server Suite」は、5-24ライセンスでラインセンス単位価格が一般9,450円から、「Client/Server Suite アドバンス」は、5-24ライセンスでラインセンス単位価格が一般12,900円からとなっている。オプションサービスの「Webセキュリティサービス」は16,000円/5ライセンス。

クライアント対策、サーバ対策、クライアント・サーバ対策の3製品に、それぞれアドバンス版が用意されている。これらにオプションサービスの「Webセキュリティサービス」と、プラグインを組み合わせることが可能