ニュース
マクニカネットワークスが脅威インテリジェンスサービスを提供、独自のYARAルールでメモリ上に展開する標的型攻撃も検知
2019年8月29日 06:00
マクニカネットワークス株式会社は28日、標的型攻撃を長年にわたって調査・解析するなかで蓄積した独自の脅威インテリジェンスを生かし、「Mpression Cyber Security Service 脅威インテリジェンスサービス」を開始したと発表した。
同日に行われた記者発表会では、脅威インテリジェンスを提供する背景やサービスの概要について説明した。
マクニカネットワークスでは、これまで、主に同社の研究や外部機関と連携した調査活動のために脅威インテリジェンスを利用していた。今回、国内において標的型攻撃対策の必要性がより一層高まっていることを受け、標的型攻撃への対策に取り組む組織に寄与するべく、独自に蓄積したYARAルールによる脅威インテリジェンスを顧客に向けて提供開始するという。
日本特有の標的型攻撃について、マクニカネットワークス 第1技術統括部 セキュリティサービス室の柳下元氏は、「現在、日本を狙って活動している主な標的型攻撃としては、『Tick』と『BlackTech』の2つのグループがある。『Tick』は、クリティカルインフラを中心に攻撃活動を行っており、今年は科学、造船、通信関連で攻撃が活発化している。一方、『BlackTech』は、幅広い組織に偵察的な攻撃を行っており、今年は、学術関連やハイテク、通信関連、設備での攻撃が観測されている」と説明。
「これらの標的型攻撃には地域性があり、グローバルベンダーだけでは日本に対する脅威を把握できないのが実情だ。また、実際に着弾しているが、ステルス性が高いため検出が難しく顕在化していないという現実もある。攻撃を受けた日本企業は、コアコンピタンスを盗まれ、産業競争力を低下させる大きな脅威になる可能性がある」との考えを述べた。
また、マクニカネットワークス セキュリティ研究センターの政本憲蔵氏は、センサーで検知されない標的型攻撃への対策について、メモリ上のIoC照合が重要なポイントになると指摘。
「セキュリティセンサーで検出されない攻撃としては、DLL Side-Loadingがある。この手法は2014年ごろから使われ続けており、良性プロセスのメモリ空間に展開することでセンサーの検知を逃れている。また、2018年に観測されたWinntiも、メモリ空間にインジェクションされ、カーネルモードで攻撃者と通信を行う。こうしたメモリ空間にだけ正体を現す標的型攻撃から防御するには、ファイル検知だけでなく、メモリに対するIoCの照合が非常に大切になる」とした。
今回、同社が提供開始する脅威インテリジェンスサービスの概要について、マクニカネットワークス 第2営業統括部 第2営業部長の山内治朗氏は、「日本を狙う標的型攻撃の検知を支援するため、主に日本の組織に着弾した標的型攻撃の調査・マルウェア解析を基に作成したYARAルールの形態で脅威インテリジェンスを提供する。具体的には、当社がマルウェアの解析を通して得た、攻撃者が変更しづらいコードレベルの特徴をルール化。ファイルとして残らないメモリ上にのみ展開される悪意のあるコードの検知も対象としたルールを作成した。これにより、ファイルだけでなく、メモリ上に潜むマルウェアも検知することが可能となった」と説明した。
「また、同サービスでは、ファイルとメモリのスキャンルールから構成されるYARAルールを電子データで提供する。ユーザーは、専用サイトを通じてYARAルールを入手し、契約期間中はYARAルールの更新版を利用することができる。価格はオープンプライスで、年間サブスクリプションでの提供となる」(山内氏)としている。
同サービスを利用することで、組織のCSIRTは、マルウェアの解析やフォレンジック、スレットハンティングなどセキュリティの高い専門性と時間が必要とされる業務において、標的型攻撃の検知精度を高めることができる。また、組織は、既存の脅威インテリジェンスを補完または拡充することができるという。
なお、マクニカネットワークスでは脅威インテリジェンスを適用したスレットハンティングサービスも提供する。同サービスは、調査対象の端末にかかる負荷が低く、1台あたり約30分から1時間と短時間でスキャンが完了するとのこと。加えて、1台から数万台まで一斉に調査できる点も特徴で、EDRソリューションを未導入の環境やEDRでは検知できなかったインシデントへの対応にも有効となっている。