ニュース
NICT、セキュリティ情報融合基盤「CURE」の分析能力を強化するデータエンリッチメント機能を開発
2022年6月15日 15:05
国立研究開発法人情報通信研究機構(以下、NICT)サイバーセキュリティ研究室は14日、サイバーセキュリティ関連情報を大規模集約するセキュリティ情報融合基盤「CURE」の新機能として、蓄積したデータにさまざまな付加情報を与えることで、データの有用性を向上させるデータエンリッチメント機能を開発するとともに、新たに複数の情報源をCUREに融合したと発表した。これにより、CUREを用いたサイバー攻撃の実態把握の精度が向上し、より質の高い国産脅威情報の生成が期待できるとしている。
NICTでは、サイバー攻撃の実態を把握するためには、サイバー攻撃の観測情報や外部機関が公開するセキュリティレポートなど、多種多様なサイバーセキュリティ関連情報を集約し、多角的に分析する必要があるとして、セキュリティ情報融合基盤のCUREを開発し、サイバーセキュリティ関連情報の大規模集約と横断分析の研究を行ってきた。
これまで、CUREはさまざまな観測情報(Artifact)や分析情報(Semantics)を融合してきたが、サイバー攻撃の実態把握の精度を向上するために、CUREに格納するサイバーセキュリティ関連情報の「量」と「質」を継続的に高めていくことが課題となっていたという。データの量を増やすためには、新たな情報源の融合が効果的で、データの質を向上させるためには、データに付加的な情報を与えることで、その有用性や信頼性を向上させるデータエンリッチメントの仕組みが必要だったとしている。
NICTでは、CUREの新たな情報源として、DDoS攻撃の一種であるリフレクション攻撃の観測情報であるAmpPot、メールに添付されたマルウェアの動的解析情報であるMalmail、組織内のインシデント対応に関する管理情報であるTrouble Ticketの3種類を融合した。
CUREは、観測情報を格納するArtifactレイヤと、分析情報を格納するSemanticsレイヤの2層から構成されるが、AmpPotとMalmailはArtifactレイヤに、Trouble TicketはSemanticsレイヤにそれぞれ追加された。
また、サイバー攻撃の痕跡情報(IoC: Indicator of Compromise)として、これまでIPアドレス、ドメイン名、マルウェア情報を用いていたが、攻撃に悪用されたメールアドレスもIoCとして扱えるように機能追加し、メールアドレスによるデータの関連付けや検索が可能になった。
さらに、CUREに格納されたデータに対して付加的な情報を与えるデータエンリッチメントの仕組みとして、「Enricher」を開発した。データエンリッチメントのコンセプトは広く、さまざまな応用が考えられるが、概念実証として、CURE内のデータにDoc2Vecを用いて類似度スコアを付与することで、類似の挙動を示すIPアドレス群を検出するEnricherを実装した。
これまでCUREは、完全一致するIoCでデータの関連付けを行っていたが、Enricherによって「このIPアドレスと似た活動をしているIPアドレス」のように、より柔軟な関連付けができるようになった。これにより、大規模スキャナによる調査活動に用いられているIPアドレス群の網羅的な把握や、暗号資産を不正に採掘するマルウェアの接続先IPアドレス群の抽出に成功するなど、データの完全一致だけでは実現できなかった柔軟な横断分析が可能になった。
データエンリッチメントは、データの質を向上させるために付加情報を与えるという広いコンセプトで、今回実装した類似IPアドレス検出だけでなく、EnricherによってIPアドレスやドメイン名に悪性度スコアを付与することや、解析者によるデータの信頼性の評価などを付与することなどさまざまな応用が可能で、CUREに集約されたサイバーセキュリティ関連情報の質を向上させ、情報分析能力をさらに強化できるとしている。
NICTでは、機能強化したCUREについて、6月15日~に幕張メッセで開催される「Interop Tokyo 2022」で動態展示を行う。