株式会社ネットワールドは7月16日、オランダのRedSocks社と日本で初めてディストリビューター契約を締結、次世代標的型攻撃対策製品「RedSocks Malware Threat Defender(RedSocks MTD)」の販売を同日より開始した。駐日オランダ王国特命全権大使であるラーディンク・ファン・フォレンホーヴェン氏は、「オランダは標的型攻撃・マルウェア対策研究の先進国」であるとし、その理由にアムステルダムに世界最大のインターネット・エクスチェンジがあること、サイバーセキュリティや暗号学、コンピュータサイエンスなどの研究、教育が進んでいること、クリエイティブに富んだ国であることの3点を挙げた。RedSocks社のCEOであるピム・コーネリッセン氏は、同社は2012年12月に設立されたが、その当時から「ネットワークはすでに感染しているもの」という精神を持ち続けている。製品の特徴として、アウトバウンドのトラフィックで感染をリアルタイムに検出できること、Netflow/IPFIXでのモニタリングのためプライバシーデータを見ないで済むこと、拡張性、データの保持、プラグアンドプレイにより10分で使用できる実装の容易さ、NSAによるバックドアがないことを挙げた。「RedSocks MTD」は、ファイアウォールやルータなどのミラーポートに接続し、Netflow/IPFIXによってすべてのアウトバウンドパケットの中から必要なフロー情報(送信先のIPアドレスやURL、デバイスの送信元IPアドレス、MACアドレス、ポート番号、プロトコル)を抽出して保有、RedSocks社のエキスパートチーム「The Malware Intelligent Team(MIT)」から送られてくるC&Cサーバの情報と照合し、マルウェアの通信を検出する。このためサンドボックス製品よりも検出力が高いという。MITからの情報は現在30分に1回であるが、年内に20分に1回になる予定だ。「RedSocks MTD」はアウトバウンドでの検出に特化した製品であるため、ネットワールドではFireEyeやパロアルトなどのインバウンド対策製品との組み合わせも考えているという。また、検出後の対応はCSIRTやSOCで行うことになるが、ファイアウォールやIPSなどとの連携も進めていくとしている。さらに、ルータなどがNetflow/IPFIXに対応していない場合のためのプローブも用意している。なお、日本において複数の企業などがPOC(概念実証)を進めているという。参考価格は、150Mbpsまでの場合(帯域により価格が異なる)でアプライアンスと初年度サブスクリプションで4,230,000円、次年度サブスクリプションは1,395,000円(ともに税別)としている。
