一般的に、脅威インテリジェンスはファイルのハッシュ値、通信先(IPアドレス、ドメイン)がブラックリストの形態で提供されており、アンチウイルスやファイアウォール等のセキュリティ製品に適用されている。
しかし、攻撃者にとってハッシュ値、通信先の変更は容易であるため、これらのブラックリストを利用するだけでは、自組織を狙った標的型攻撃の検知が困難であるのが実情だという。
また、近年では攻撃者が、マルウェアとしての主機能を暗号化しているファイルを使用したり、実行時に主機能のコードを外部サーバからメモリ上にダウンロードしたりすることで、ハードディスク上に痕跡を残さない手法を多く使うのことが観測されているという。これにより、従来のファイル検査が主であるセキュリティ製品による検知が回避される傾向にある。
今回、提供される脅威インテリジェンスは、主に日本の組織に着弾した標的型攻撃の調査・マルウェア解析を基に作成したYARAルールの形態で提供される。YARAとは、サイバーセキュリティ研究者によるマルウェアの識別・分類を支援するために開発されたオープンソースツール。Windows/Linux/Mac OSXと、マルチプラットフォーム対応でテキスト、バイナリパターンを使った検知ルールを記述することができ、多くのセキュリティ製品・分析ツールがサポートしている。
マクニカネットワークスではマルウェアの解析を通して得た、変更頻度が少ないコードレベルの特徴をルール化している。ファイルとして残らないメモリ上にのみ展開される悪意のあるコードの検知も対象としたルールを作成しており、メモリスキャンが可能な調査ツール、製品で利用することで標的型攻撃の調査・検知を支援するという。
組織のCSIRTは、この脅威インテリジェンスを活用することで、マルウェアの解析やフォレンジック、スレットハンティングといった、セキュリティの高い専門性と時間が必要とされる業務において、標的型攻撃の検知精度を高めることができる。組織は脅威インテリジェンスによって、既存の脅威インテリジェンスを補完または拡充することができるとしている。
なお、マクニカネットワークスでは、この脅威インテリジェンスを適用したスレットハンティングサービスも提供する。調査対象の端末にかかる負荷は低く、1台あたり約30分~1時間と短時間でスキャンが完了する。1台から数万台まで一斉に調査できる点も特徴で、EDRソリューションを未導入の環境やEDRでは検知できなかったインシデントへの対応にも有効だという。
