ウイルス、ワーム、トロイの木馬、スパイウェアなど全ての種類のマルウェアをリアルタイムで検出する無料サービスを提供開始

C-Secure（代表：伊東憲一）は、Webサイトのマルウェア検出サービス「C-Secure TotalScan（仮称）」サービスの提供を開始した。

同サービスは、ウイルス、ワーム、トロイの木馬、スパイウェアなど全ての種類のマルウェアをリアルタイムで検出するサービスで、ブロックはもちろんのこと、分離・削除機能も提供する。
また、疑わしいファイルやURLを分析し、ウイルス、ワーム、トロイの木馬、スパイウェアなどのすべての種類のマルウェアを簡単に、迅速に検出することができる検出機能も無料サービスに含まれる。

リアルタイム検出機能は、40種類以上のワクチンの利点を組み合わせたマルチエンジンスキャン技術を利用し、これまでのアンチウイルススキャンでは検出されないマルウェアを検出する。
また、マルウェア行為の分析を介して新・変種の攻撃に対応するエンジン構造と対応プロセスにより、未知の攻撃やワーム、ウイルスの拡散および変調されたIPを介した有害トラフィックを遮断する。

ユーザーが操作する外部アプリケーションにAPIを連動して、Flood、Large File、Process、Black IP、Black Portなどの、悪質なファイルとプロセスを自動追跡して分離・削除が可能な管理機能も併せて提供する。

様々なポリシー設定を活用して、悪意のあるコードの攻撃を検出し、不正リモート管理プロセスに於いても、検出及び、ブロックが可能となり、Symantec、McAfee、ESETのような主要なセキュリティ企業のブラックリストDBと連携し様々なリスク分析を用いてブラックリストのようにイベントの状況を把握することができる。

小坂亮平氏は、「C-Secure TotalScanは、リアルタイムで変化し増加する不正プログラムの拡散防止のために、我々も変化し、進化するソリューションとして生まれ変わらなければならない。」とC-Secure TotalScanサービス開発に対する意気込みを述べた。

株式会社一般ピープル(代表 伊東憲一)が運営する、C-Secure(http://c-secure.com)は、スミシングマルウェアに感染したスマートフォンから奪取されたとみられる、決済情報や個人情報を収集するサーバを発見し、これを関係機関で共有したと30日明らかにした。

今回発見された情報収集サーバは、攻撃者が奪取したと思われる被害者のスマートフォン決済証明書とクレジットカードの番号、セキュリティカードの表とシリアル番号、口座番号、パスワードなどの決済情報及び、個人情報約500件が保存されていた。
更にそのサーバには、感染済スマートフォンで受信されたテキストメッセージの収集履歴も多数保存されていた。
これは、攻撃者が感染済スマートフォンを利用して、決済の際に使用される文字認証メッセージを奪取するためであると推定される。
このサーバには、ユーザーがURLをクリックしサーバに接続したときに、決済情報の引き継ぎ機能を持つ不正アプリをユーザーのスマートフォンにダウンロードする機能があることも確認されている。

現在対象のサーバは、関係機関らの迅速な対応により外部から遮断された状態であるとしている。
C-Secure担当者は、「サーバに収集された情報の内容から推測すると、実際の金銭被害を引き起こす可能性があり、現代のスマートフォンユーザには特別な注意が必要である。」とし、「身に覚えの無い不審なURLをクリックすることは絶対せず、モバイルセキュリティソフトウェアなどでの定期的なウィルスチェックを行うなどの基本的なセキュリティ上の注意が必要不可欠だ。」と述べた。

脆弱性分析は、事前に設定されたパターンを認識して分析する方法で、さまざまな範囲の脆弱性を検出することができるという利点があります。
しかし、あくまでも設定された情報に基づいて脆弱性を分類化するため、スキャンエンジンに応じて、いくつかの誤検知が発生する場合もあります。
擬似侵入テストは、現実的な脅威を正確に把握するために脆弱性を実際に攻撃することで、ハッカーが現実に悪用可能な脆弱性の潜在的リスクを評価し、注意が必要な脆弱性の優先度を順位付けできるように支援します。
この脆弱性の分析と擬似侵入テストは、並行して行うことにより効率的な検査を行うことができます。

脆弱性分析は、事前に設定されたパターンを認識して分析する方法で、さまざまな範囲の脆弱性を検出することができるという利点があります。
しかし、あくまでも設定された情報に基づいて脆弱性を分類化するため、スキャンエンジンに応じて、いくつかの誤検知(false positive)が発生する場合もあります。
特定のフレームワークではなく、ユーザー独自開発アプリケーションの場合にセキュリティ上の深刻な欠陥を検出できません。
また、検査されたネットワークに特化されていないネットワーク要素間との任意の接続も現れず、現実的な脅威かどうかを判断することが難しいので、現実的なハッキングの脅威とは比較されにくい部分があります。

脆弱性分析は、自動化されたツールが一回につき一つの問題を質疑するので、全体的な流れを把握することができません。侵入テストの場合は専門エンジニアの経験と判断、推論と技術をもとに、自動化ツールと相反する結果を提供します。例えばログインフォームを保護するためのCAPTCHAのようなセキュリティ強化機能を使用している場合、脆弱性分析、スキャナは単純な画像であると判別する一方、侵入テストの場合は、その機能(Function)の脆弱性を検出します。もし、お客様のユーザー名やパスワード、または口座番号がURLパラメータで使用されている場合、セキュリティエンジニアはビジネスロジックを用いてこの脆弱性の対応方法を提出しますが、脆弱性スキャナはお客様のビジネスロジックを用いることができません。

{SITE_NAME}は最適な情報セキュリティサービスを提供することを目的とします。サービスプロセスとテスト方法論の目標を、セキュリティ投資の効率性に重点を置いております。そのため、十分なコミュニケーションを通じて、顧客に適切な​​方向を示唆しています。一般的な外注コンサルティングと擬似侵入テストは、レポートのみ管理されるだけで脆弱性の履歴管理がないというのが最大の問題であり、誰が担当するかによって、脆弱性の結果が違ってくる場合がほとんどです。このような理由から、{SITE_NAME}は脆弱性の履歴管理の重要性を考えており、それを使用して企業は脆弱性の体系的な対応戦略を立て、最終的な目的を達成することができます。

{SITE_NAME}はお客様の大切なお時間を決して無駄にしません。発生した問題にすぐに対応できるように、状況を把握し、シナリオとレポートを作成します。お客様とのコミュニケーションを介して整理されたレポート項目は、問題を解決する方法の詳細(具体的な例と適切なスクリーンショット)を盛り込み、時には複雑なプログラムやコーディングの問題を説明するためのプロトタイプ作品を説明に利用して進行する場合もあります。

回復に向けたサポートをします。単に脆弱性を報告して修正するのではなく、破損したりして失われたデータや、ハードウェアの回復まで一括してサポートします。

ほとんどの競合他社は、ネットワークの背景知識をベースにすることに対し、{SITE_NAME}はより深みのある侵入テストを実行するので、一定レベルのプログラミング知識も持ち合わせています。そのため、アプリケーションのエラーや脆弱性を見つけることが遥かに容易になります。

どんなに優れたレポートといっても、お客様にプログラミング知識がない場合、それを理解することはほぼ困難と言えます。{SITE_NAME}のレポートは、システム管理者および開発者に加えて、管理者も理解しやすいように作成されています。そのため{SITE_NAME}の脆弱性対策ガイドには、脆弱性の説明、処置方法、ダウンロードリンク、所要時間などの脆弱性対策に必要な詳細情報がすべて網羅されています。

擬似侵入テストでの大体の費用は、経験豊富なセキュリティ専門エンジニアの人件費です。{SITE_NAME}は総合的な結果を提供することを原則としているので、すべての脆弱性の専門侵入テストチームを活用し、多様な形態のアプローチを通して、脆弱性を検出します。

アウトソーシングコンサルティングや侵入テストでは、脆弱性の体系的な管理ができません。また、業者によっては自動化されている既存の侵入テストとサービス、または自動検出プログラムに依存したレポートの管理だけで仕上げる業者も存在します。このようにアウトソーシング会社に応じて、内容や品質は大きく変化します。脆弱性の履歴管理がされていない場合、お客様は脆弱性に対する体系的な対応戦略を立てることができません。要するにセキュリティとしての目的が無くなると言えます。しかし、まだ多くのセキュリティ担当者は、低コストの会社にセキュリティエンジニア業務をアウトソーシングしているのが現実と言えます。

診断を使用して、さまざまな脆弱性や問題点が検出されると、それに応じた準備をする必要があります。時には検査が繰り返されることもありエクスプロイト(Exploit)などの対応項目が増え、コストの上昇につながる可能性もあります。しかし、企業のセキュリティ担当者は、勿論必要な確認項目を選択することができるでしょう。手頃な価格の基本的な項目のみを選択したりしてしまいます。これらの例は、システムのセキュリティに関する不信につながることでしょう。

{SITE_NAME}はテスト規制のコンプライアンス要件を満たすことに重点を置いています。テスト範囲と方法についての詳細を含むレポートを提供して、悪用する可能性がある敏感な項目を選別することができます。企業の目的が「組織を含む総括的なセキュリティの向上」にある場合は、私たちは徹底的にセキュリティの脅威を解決するために努力しネットワーク、システムとアプリケーション層を含むテストを行います。

契約が締結されれば、すぐにスケジューリングを行い、基本的に4～8週間のお時間をいただきます。通常は契約書の作成時に、お客様のスケジュールをお伺いして弊社側で調整します。

擬似侵入テストの期間は、システムのタイプおよびボリューム・環境によって異なりますが、一般的には1～3週間の期間に基づいて行われます。

• Webアプリケーションのセキュリティ脆弱性チェックと対策のための修正報告およびセキュリティ/コーディングガイドラインのサポート
• すべてのオペレーティングシステムで動作するWebサーバーとベース技術(ASP、PHP、AJAX、NETなど)のインフラストラクチャとアプリケーションのサポート
• 高速脆弱性の更新とゼロデイ脆弱性への対応

{SITE_NAME}の侵入テスト方法論は、具体的には顧客のデータ損失や、ダウンタイムとリスクを軽減するように設計されています。

脅威モデリング(Threat Modeling)と脆弱性分析(Vulnerbility Analysis)を使用してシステムの危険性を確認し、破損を予測します。この段階では、テスト時に発生する可能性のあるシステム損傷を予測します。その後、侵入テストで重要なステップの一つであるExploitationを介して実質的なテストが行われますが、多くの場合、精度を重視するよりはbrute force(ブルートフォース)によってテストされます。Exploitは、Exploitを介して攻撃が成功することを前提として実行されます。

テストを介して検出された脆弱性をどのように制御するか？どのようなアクションがあったのか？何が重要なのか？についてのコミュニケーションをレポートを通してご報告いたします。
また、お客様のシステムで実用的な脆弱性をテストする場合も、悪用される可能性が高い脆弱性を含む処理方法をレポートとしてお客様にご報告いたします。