マクニカネットワークスは2019年8月28日、標的型攻撃を長年に渡って調査・解析する中で蓄積した独自の脅威インテリジェンスを「Mpression Cyber Security Service 脅威インテリジェンスサービス」として提供開始したと発表した。価格はオープンで、年額制で提供する。
一般に、脅威インテリジェンスは、ファイルのハッシュ値と通信先(IPアドレス、ドメイン)を、ブラックリストの形態で提供している。これを、ウイルス対策ソフトやファイアウォールなどで利用している。しかし、攻撃者にとって、ハッシュ値や通信先の変更は容易である。このため、ブラックリストを利用するだけでは、標的型攻撃の検知は困難である。
近年ではまた、マルウェアとしての主機能を暗号化しているファイルを使ったり、実行時に主機能のコードを外部サーバーからメモリー上にダウンロードしたりすることで、ハードディスク上に痕跡を残さない手法が多く用いられる。従来のファイル検査を主としたセキュリティ製品では、検知が難しい傾向にある。
マクニカネットワークスは今回、日本の組織に着弾した標的型攻撃の調査・マルウェア解析を基に作成した、変更頻度が少ないコードレベルの特徴をルール化した脅威インテリジェンスを用意した(図1)。YARAルールの形態で提供する。ファイルとして残らない、メモリー上にのみ展開される悪意のあるコードも検知できる。メモリースキャンが可能な調査ツールで利用することで、標的型攻撃を効果的に調査・検知できる。
拡大画像表示
CSIRTは、脅威インテリジェンスを活用することで、標的型攻撃の検知精度を高められる。組織は、脅威インテリジェンスによって、既存の脅威インテリジェンスを補完または拡充できる。