イスラエルIllusive Networksが開発しアズジェントが販売している「illusive Deceptions Everywhere」は、社内に侵入したマルウエアや攻撃者の活動を、実際には存在しない偽りのサーバー情報を利用して妨害するタイプのセキュリティソフトである。

illusive Deceptions Everywhereのイメージ(左は攻撃者からみたネットワーク、右は実際のネットワーク)
(出所:アズジェント)
[画像のクリックで拡大表示]

 illusive Deceptions Everywhereの管理サーバーは、社内LAN上でActive Directory管理下にあるパソコンなどの端末にリモートアクセスし、メモリーキャッシュ情報を書き換える。実際には存在しないFTPサーバーやデータベースサーバーに対するログイン情報や、Webブラウザーの閲覧履歴などを、デコイ(偽情報)として埋め込む。

 これにより、社内LAN上の端末に侵入したマルウエアや攻撃者は、偽りの情報を利用して偽りのサーバーにアクセスしやすくなる。偽りの情報によって、社内LANは、実際のネットワークよりも多くの端末が存在する迷宮となるので、攻撃すべきターゲットを発見しにくくなる。

 マルウエアが偽りのサーバーにアクセスすると、アクセス先はillusive Deceptions EverywhereのTrapサーバーになっている。Trapサーバーは複数のIPアドレスを持っており、多数の偽りのサーバーとして機能する。Trapサーバーへのアクセスによって、マルウエアや攻撃者の活動を検知できる。

 現行版では、端末のファイルを暗号化して身代金を要求する暗号化ランサムウエアに対抗する「Advanced Ransomware Guard」(ARG)機能を備える。Trapサーバー上のファイル群へのネットワークショートカットとなるデコイ(偽ファイル)を社内LAN上の端末に置くことで、ランサムウエアによる暗号化をTrapサーバー側で検知する仕組みである。

 デコイのファイル名や属性などを工夫して、ランサムウエアが最初にデコイを暗号化するように仕向けているという。デコイを暗号化すると、Trapサーバー上にある大量のファイル群を暗号化することになるので、端末上の実ファイルを暗号化するまでの時間を稼ぐことができる。この間に、デコイを暗号化しているランサムウエアのプロセスを調べ、これを停止させる。

illusive Deceptions Everywhereの概要
用途と機能社内に侵入したマルウエアや攻撃者の活動を、実際には存在しない偽りのサーバー情報を利用して妨害するタイプのセキュリティソフト
仕組み(1)社内LAN上のパソコンのメモリーキャッシュ情報を書き換え、実際には存在しないFTPサーバーやDBに対するログイン情報、Webブラウザーの閲覧履歴などを、デコイ(偽情報)として埋め込む
(2)マルウエアが偽りのサーバーにアクセスすると、アクセス先はillusive Deceptions EverywhereのTrapサーバーになっている。これによりマルウエアや攻撃者の活動を検知する
ランサムウエア対抗機能Trapサーバー上のファイル群へのネットワークショートカットとなるデコイ(偽ファイル)を社内LAN上の端末に置くことで、ランサムウエアによる暗号化をTrapサーバー側で検知する仕組み
価格(税別)端末5000台の場合に、1端末当たり年額9840円
発表日2016年6月8日
2016年8月23日(ランサムウエア対策機能)
出荷日2016年7月1日
2016年8月23日(ランサムウエア対策機能)
備考発表日/出荷日と価格は、販売代理店のアズジェントの場合