2020年6月24日

業界最大級のマルウェアデータベースを利用し、新たな攻撃を既存APTグループと関連付ける新しい脅威インテリジェンスソリューション「Kaspersky Threat Attribution Engine」を提供開始

当社の持つセキュリティ業界最大級のマルウェアデータベース情報とマルウェアのコードを独自の手法で自動的に照合し、コードの類似度に基づいて特定のAPTグループまたは攻撃活動との関連付けを表示します。この情報はインシデントを優先付ける際に役立ちます。

[本リリースは、2020年6月9日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyは、新しい脅威インテリジェンスソリューション「Kaspersky Threat Attribution Engine」を提供開始します。このソリューションは、組織のセキュリティオペレーションセンター(SOC)のアナリストやインシデント対応者が、発見したマルウェアサンプルを既知の高度サイバー攻撃(Advanced Persistent ThreatAPT)グループと迅速に結び付けることに役立ちます。当社の持つセキュリティ業界最大級のマルウェアデータベース情報とマルウェアのコードを独自の手法で自動的に照合し、コードの類似度に基づいて特定のAPTグループまたは攻撃活動との関連付けを表示します。この情報はインシデントを優先付ける際に役立ちます。

企業がサイバー攻撃を受けた場合、その攻撃者と目的を把握することが、最適なインシデント対応を迅速に見つけ出すことにつながります。しかしながら、攻撃者を突き止めることは非常に難しく、大量の脅威インテリジェンスだけでなく、それらを解釈する適切なスキルも必要になります。Kaspersky Threat Attribution Engineは、自動で高度なマルウェアの分類と特定をおこなうソリューションです。

このソリューションは、経験豊富な脅威ハンターとして世界でも実績を誇る当社のグローバル調査分析チーム(GReAT)が使用している社内向けツールを社外向けに展開するものです。これまでに、LightSpyTajMahalShadowHammerShadowPadおよびDtrackの各サイバー攻撃の分析と対策に活用されてきました。

KTAE-analysis-results

図1:マルウェアサンプルの類似度分析の結果

KTAE-wannacry_details

図2:ドリルダウンの結果

Kaspersky Threat Attribution Engineは、あるサイバー脅威が既知のAPTグループまたは攻撃活動と関連しているかどうかを特定するため、新たに見つかった悪意のあるファイルをバイナリの断片に自動的に分解し、それらの断片を当社がこれまでに収集した60,000を超えるAPT関連のファイルと比較します。より正確な関連付けを行うために、ホワイトリスト化されたファイルで構成される大規模なデータベースも取り入れています。これにより、マルウェアの優先順位付けと攻撃の識別の品質が大幅に向上し、インシデント対応が円滑になります。

Kaspersky Threat Attribution Engineは、分析したマルウェアとデータベース内のサンプルとの類似度に応じて評価スコアを計算し、以前に起こったサイバー攻撃の概要説明と公開情報および非公開情報へのリンク、考えうるマルウェアの発生源と作成者を表示します。また、別途Kaspersky APT Intelligence Reportサービスを利用している場合は、特定した攻撃者によって使用されている戦術、手法、および手順と、さらなる対応ステップについての専用レポートを確認することができます。

また、このソリューションはサードパーティのクラウド環境ではなく、企業のネットワーク上にオンプレミスで導入できるように設計されています。このアプローチにより、導入企業がデータの共有を制御することができます。

さらに、導入企業は脅威インテリジェンスに加えて、独自のデータベースを作成し社内のアナリストが発見したマルウェアサンプルをそのデータベースに蓄積することができます。この方法により、このソリューションは、情報の機密を維持しつつ、企業のデータベースにある既存マルウェアと類似するマルウェアを結び付けられるようになります。

Kaspersky GReATのディレクター、コスティン・ライウ(Costin Raiu)は、次のように述べています。「サイバー攻撃者を明らかにする方法はいくつかあります。たとえば、リサーチャーはマルウェア内にあるアーチファクトを利用し、攻撃者の母国語や居場所を示すIPアドレスを特定できます。ただし、高度なスキルを持つ攻撃者はこれらを難なく偽ることができるため、リサーチャーは調査で行き詰まってしまうことがあります。当社の経験から言える最善の方法は、過去のインシデントまたは攻撃活動で特定されたほかのマルウェアサンプルと類似する共有コードを探すことですが、こうした手作業の調査は数日、数か月かかる場合もあります。私たちはこのようなタスクを自動化、迅速化するためにこのソリューションを開発しました」

Kaspersky Threat Attribution Engineの詳細については、こちらのリンクをご覧ください。(英語)日本でもご利用いただけます。詳細はこちらからお問合せください。

※ Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyの研究開発部門の中核として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。