[新製品・サービス]

2019年8月29日(木)IT Leaders編集部

リスト

　一般に、脅威インテリジェンスは、ファイルのハッシュ値と通信先（IPアドレス、ドメイン）を、ブラックリストの形態で提供している。これを、ウイルス対策ソフトやファイアウォールなどで利用している。しかし、攻撃者にとって、ハッシュ値や通信先の変更は容易である。このため、ブラックリストを利用するだけでは、標的型攻撃の検知は困難である。

　近年ではまた、マルウェアとしての主機能を暗号化しているファイルを使ったり、実行時に主機能のコードを外部サーバーからメモリー上にダウンロードしたりすることで、ハードディスク上に痕跡を残さない手法が多く用いられる。従来のファイル検査を主としたセキュリティ製品では、検知が難しい傾向にある。

　マクニカネットワークスは今回、日本の組織に着弾した標的型攻撃の調査・マルウェア解析を基に作成した、変更頻度が少ないコードレベルの特徴をルール化した脅威インテリジェンスを用意した（図1）。YARAルールの形態で提供する。ファイルとして残らない、メモリー上にのみ展開される悪意のあるコードも検知できる。メモリースキャンが可能な調査ツールで利用することで、標的型攻撃を効果的に調査・検知できる。

図1：Mpression Cyber Security Service 脅威インテリジェンスサービスの特徴（出典：マクニカネットワークス）
拡大画像表示

　CSIRTは、脅威インテリジェンスを活用することで、標的型攻撃の検知精度を高められる。組織は、脅威インテリジェンスによって、既存の脅威インテリジェンスを補完または拡充できる。