Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

マクニカネットワークス、高度な標的型攻撃の検知に特化した独自の脅威インテリジェンスの提供を開始

  2019/08/29 15:00

 マクニカネットワークスは、標的型攻撃を長年に渡って調査・解析する中で蓄積した独自の脅威インテリジェンスを「Mpression Cyber Security Service 脅威インテリジェンスサービス」として、8月28日から提供開始すると発表した。

 一般的に、脅威インテリジェンスはファイルのハッシュ値、通信先(IPアドレス、ドメイン)がブラックリストの形態で提供されており、アンチウイルスやファイアウォール等のセキュリティ製品に適用されている。

 しかし、攻撃者にとってハッシュ値、通信先の変更は容易であるため、これらのブラックリストを利用するだけでは、自組織を狙った標的型攻撃の検知が困難であるのが実情だという。

 また、近年では攻撃者が、マルウェアとしての主機能を暗号化しているファイルを使用したり、実行時に主機能のコードを外部サーバからメモリ上にダウンロードしたりすることで、ハードディスク上に痕跡を残さない手法を多く使うのことが観測されているという。これにより、従来のファイル検査が主であるセキュリティ製品による検知が回避される傾向にある。

 今回、提供される脅威インテリジェンスは、主に日本の組織に着弾した標的型攻撃の調査・マルウェア解析を基に作成したYARAルールの形態で提供される。YARAとは、サイバーセキュリティ研究者によるマルウェアの識別・分類を支援するために開発されたオープンソースツール。Windows/Linux/Mac OSXと、マルチプラットフォーム対応でテキスト、バイナリパターンを使った検知ルールを記述することができ、多くのセキュリティ製品・分析ツールがサポートしている。

 マクニカネットワークスではマルウェアの解析を通して得た、変更頻度が少ないコードレベルの特徴をルール化している。ファイルとして残らないメモリ上にのみ展開される悪意のあるコードの検知も対象としたルールを作成しており、メモリスキャンが可能な調査ツール、製品で利用することで標的型攻撃の調査・検知を支援するという。

 組織のCSIRTは、この脅威インテリジェンスを活用することで、マルウェアの解析やフォレンジック、スレットハンティングといった、セキュリティの高い専門性と時間が必要とされる業務において、標的型攻撃の検知精度を高めることができる。組織は脅威インテリジェンスによって、既存の脅威インテリジェンスを補完または拡充することができるとしている。

 なお、マクニカネットワークスでは、この脅威インテリジェンスを適用したスレットハンティングサービスも提供する。調査対象の端末にかかる負荷は低く、1台あたり約30分~1時間と短時間でスキャンが完了する。1台から数万台まで一斉に調査できる点も特徴で、EDRソリューションを未導入の環境やEDRでは検知できなかったインシデントへの対応にも有効だという。

関連リンク

著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。


All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5