カスペルスキー、脅威分析サービス「Kaspersky Threat Analysis」を強化

　株式会社カスペルスキーは4日、脅威分析サービス「Kaspersky Threat Analysis」を強化すると発表した。「類似サンプル検索（Similarity）」ツールを搭載するほか、新たな攻撃を既存の攻撃グループと関連付ける既存ツール「Kaspersky Threat Attribution Engine」の強化、ライセンス体系の変更なども行っている。

　Kaspersky Threat Analysisは、カスペルスキーが持つ各種の脅威インテリジェンスサービスを、単一のインターフェイスから利用できるクラウドサービス。動的分析、静的分析、アンチウイルス、属性分析を組み合わせて、あらゆる角度から状況を分析可能なため、脅威に対する十分な情報に基づいた意思決定を可能にするという。

　今回は新たに、分析対象となる不審なファイルの仕様を機械学習の手法を用いて抽出し、カスペルスキーが持つ既知のサイバー脅威情報から、類似性を持つほかのマルウェアの情報を提供する「類似サンプル検索」が追加された。不審なファイルがマルウェアだった場合に、その亜種の有無や特徴を把握できるという。

　さらに、別サービスの「Threat Lookup」を用いている場合は、類似性があるマルウェアのダウンロード元とダウンロード先、潜伏先（ファイルパス）、ファイル実行時のアクセス先とダウンロードされるファイルなどの詳細情報も表示するとのこと。

「類似サンプル検索」機能によって発見された類似性のあるマルウェアサンプルの例

　また、Kaspersky Threat Attribution Engineの機能強化を実施した。このツールでは、分析対象の不審なファイルから抽出した16バイト長のバイナリ断片と、カスペルスキーのリサーチャーがこれまでにAPT攻撃に関して分析・収集したデータベースを、独自の類似コード技術を用いて比較し、特定のAPT活動グループまたは攻撃活動との関連付けを表示するものだ。

　今回は新たに、パスワードで保護されたアーカイブファイルの分析が可能になった。パスワードで保護されたアーカイブはKaspersky Threat Attribution Engineによって解凍され、パスワード保護の無いほかのファイルと同様にすべてのオブジェクトが分析処理される。

　加えて、別サービス「APT Intelligence Reporting」との連携を強化し、同サービスを契約している場合は、分析結果の脅威アクター名をクリックすることで、分析で特定されたアクターに関連する「APT Intelligence Reporting」のレポートの一部を抽出して表示できるようにした。

「Kaspersky Threat Attribution Engine」により、不審なファイルは脅威アクター「Platinum」に関連することが判明した例

　このほか今回は、Kaspersky Threat Analysisのライセンス形態を変更し、解析回数の上限を、従来の1日単位から1年単位に変更した。これまでは、1日の解析回数が上限に達しなかった場合でも翌日以降への繰り越しを行えなかったほか、1日の上限に達した場合、解析を翌日まで実行できなかったが、解析回数の上限を1年単位に変更することで、ユーザーの利用状況に対して柔軟に対応可能になったとしている。

　1ライセンスあたりの1年の解析回数上限と価格（税別）は、1000回で117万1535円、2500回で195万2558円、5000回で331万9348円など。既存のライセンスを保有する場合は、該当の契約満了後に1年単位のライセンスを利用可能になる。