Kaspersky Threat Intelligenceの活用

＜APT Intelligence Reportingとは＞

APT Intelligence Reporting（以下、APTレポート）とは、弊社のエキスパートが調査したAPTおよび標的型攻撃など最新のサイバー攻撃に関する非公開レポートを提供するサービスだ。

弊社では公式サイト、プレスリリースやブログ、セキュアリストなどを介して情報を広く共有している。しかしAPTレポートでお届けするのは、サイト等でお知らせすることのない最新の情報だ。

APT攻撃については通常、即、一般公開することはない。情報をリリースすると、攻撃の手口が変化することがある。たとえば脅威アクターの1つであるAPT10は、セキュリティベンダーが発表した情報をベースにすでに解析されたコードを削除するなどしていた。

APTレポートでは技術詳細だけでなく、IoCデータやYARAデータなどの元データを提供している。そのためお客様の環境で、その痕跡がないかを調べることが可能だ。

●APT Intelligence Reportingの特徴

APTレポートは、脅威インテリジェンスポータルサイト（以下、ポータルサイト）から提供している。ポータルサイトにおいては「脅威ルックアップ」、「クラウドサンドボックス」なども利用可能だ。

これら複数のサービス間のシームレスな連携も可能であるほか、APTレポートの利用だけといったサービス単体での利用も可能だ。自動化に有効な「RESTful API」を実装しているので、レポート一覧やレポートそのものを取得するといった使い方ができる。通知を有効にすれば、指定のメールアドレスに新着レポートなどのお知らせが届く。

脅威分析の世界では、攻撃のフェーズを整理したMITRE ATT&CK（以下、マイターアタック）が重視されている。APT攻撃がどのような技術および手法を使っているのか、マイターアタックとのマッピングもAPTレポートに記述されている。タグづけもされているので、目的のレポートに容易にアクセス可能だ。

●Building a safer world

弊社は上場しておらず、従業員の半数が研究開発部門という研究開発に力を入れている企業だ。さまざまな脅威分析チームがあり、APT攻撃の調査、研究は「GReAT」というカスペルスキーのセキュリティのエキスパートのチームが担っている。

セキュリティの分野でビッグデータを機械学習で製品に取り込む際には、専門家の知見が必要となる。実在の攻撃者が、機械学習をすり抜けようとしたり混乱させようとしたりするからだ。専門家の存在が生命線であることから、弊社では世界中にエキスパートを配置している。

●2種類のAPTレポート

APTレポートは2種類あり、ポータルサイトからダウンロード可能だ。Executive Summaryは経営層など意思決定者向けの要約版、Full ReportはSOC担当者やセキュリティ専門技術者向けのレポートとなる。

Full Reportの具体的な内容は、技術的な詳細、攻撃に使用されるインフラストラクチャ、IoCデータやYARAデータだ。機械読取可能な形式でも提供できるので、カスタマイズしやすくお客様の環境で役立つ。

レポート以外に、攻撃者の属性情報をポータルサイトで確認可能だ。たとえばAPT10のこれまでの活動、使用するマルウェア、オープンソース、ペネトレーションツール、どういった国に対して攻撃しているか、マイターアタックのマッピングやTTPs（戦術、技術、手順）を確認できる。

また脅威アクターがどういうものかを記した外部情報ソースのURLも掲載されている。提供形態は4種類あり、ニーズに合わせて選択可能だ。PoCが可能であり、10個だけ無償で閲覧できる。またCrimeware ReportやICS Reportも提供中だ。

＜Kaspersky Data Feed＞

さまざまな脅威データフィードを提供しており、無償でPoCに対応している。

SuricataおよびSuricata互換のIPS用データフィード、フィッシングURLフィード、脆弱性のデータフィードなどがある。フィッシングURLフィードで特徴的なのは、フィッシングキットが含まれている点だ。どのようなフィッシングキットを使って仕掛けているのか、どのようなものが盗まれるのか、どのようなブランドが狙われているのかがわかる。

脆弱性のデータフィードでは、どのようなアプリケーションにどのような脆弱性があって、その危険度はどの程度で必要なバッチをどこからダウンロードできるのかがわかる。Open Vulnerability and Assessment Language（OVAL）のフォーマットをサポートしているので、OVALを使えるアプリケーションに読み込ませてすぐに使うことも可能だ。

一般的に一番よくあるデータフィードの活用例は、SIEMと連携してログの分析につかう方法だ。分析には、SIEMと連携してデータフィードとログとの突合を行う支援ツール「CyberTrace」がおすすめだ。著名なSIEMとデータのやり取りをしたり、Splunk上で結果を表示したりできるプラグインも提供している。

データフィードを読み込んでCyberTrace上でお客様の生ログと突合して、その結果をSIEMに返して表示することが可能になる。いわゆるOSINT、サードパーティ製で運用されているデータを突合の元データとして使うなどの使い方ができる。

データフィードを購入すると無償で使えるが、ライセンスタイプによって使用できる機能が異なる。完全無償版もあるが、データ量に制限があることから小規模企業に適している。

＜Kaspersky Threat Attribution Engine（KTAE)＞

KTAEにはクラウド版あるいはオンプレミス版があり、属性を解析して既知の脅威アクター、キャンペーン、脅威との類似性を示す。KTAEは、解析対象ファイルからバイナリーコードとStringsに分割されたgenotypes（遺伝子型）を抽出する。

特徴はマルウェアを読みにくくするPackerをサポートしている点や、実行ファイル、PDFやWord、Java scripts、メモリーダンプ、証明書も読み込める点だ。

弊社のアナリストによると、KTAEはマルウェア解析に非常に役立つ。たとえば、EmotetはWordを使ってくる。そのWordを解析すると類似性がわかる。抽出された固有のコードやStringsから当たりを付けて調べていけば、非常に効率が良い。マルウェア解析者の方は、お気軽にお試しいただきたい。

＜Digital Footprint Intelligenceとは＞

弊社のエキスパートがお客様の環境などを調査して出すレポートサービスだ。リソースに対する攻撃状況を調査・分析した年4回のレポートと、脆弱性や攻撃の証拠などを脅威アラートで随時報告する。調べるというサービスの性格上、無償でPoCはできない。

お客様のドメインやIPアドレスを元に調査をする。いわゆるペネトレーションテストではないので準備や対応は不要で、業務への影響なしで調べられる。サマリーをPDFで、また詳細なレコードが記述されたエクセルシートを納品する。

脅威アラートでは、テキストを交換するPastebinの監視も行っている。通常はアプリケーション使用のために使われるが、マルウェアが悪用している例が多いからだ。

ブランド毀損につながるフィッシング検知にも力を入れている。たとえば登録するとそれに類似のドメインが作成された瞬間にアラートを出す「WHOIS Tracking」などだ。　

ネットワーク境界に関する脅威レポートでは、リソースやアプリケーションの一覧を作成し、その一覧に対してどのような脆弱性が残っているのかを調べる。子会社、買収合併した企業や海外拠点など目が行き届かない、報告と実際が違うといったケースに有益なサービスだ。

マルウェア脅威に関するレポートでは、ボットネットの監視を行っている。ボットネットは銀行だけでなく銀行を利用する一般の方や企業にも反応して入り込もうとする。

ダークウェブに関する脅威レポートではダークウェブにコンタクトをして調査を実施する。ロシア語話者がいるので、ダークウェブの調査に有益だ。ほかに、意図せずに公開されている機密データを特定する情報漏洩レポートにも対応している。

＜結びに＞

本日は、Kaspersky Threat Intelligenceの活用についてご紹介した。いくつかのサービスでは無償でPoC可能なので、お気軽にお試しいただきたい。

◆講演企業情報
株式会社カスペルスキー：https://www.kaspersky.co.jp