Macnica Security Service
マクニカセキュリティサービス
トリアージサービス
専門アナリストが、不審なファイルを調査しCSIRTのインシデント対応を支援
CSIRT(シーサート: Computer Security Incident Response Team)は、運用しているセキュリティ製品の検知や作業の中で発見された不審な痕跡(ファイル、通信、操作ログ)、外部機関からの連絡等を受け、インシデント調査・対応を行います。但しCSIRTのリソースは、有限であり各インシデントのトリアージ(優先付け)を行い対応する必要があります。
本サービスは、専門アナリストが不審なファイルを調査、その危険度と感染痕跡を報告しCSIRTのインシデント対応を支援します。
- ケース1
セキュリティ製品が検知したファイルが、どのようなものなのかを調査したい。金銭窃取を目的としたランサムウェア、Emotetのようなバラマキ型なのかそれとも知的財産を目的とした標的型攻撃なのか。 - ケース2
ユーザがメールに添付されていた不審なファイルを実行した可能性があり、調査のために感染痕跡(通信先など)を知りたい。
本サービスは、日本企業をターゲットとする標的型攻撃の分析に特化した専門アナリストによる標的型攻撃の判定を行います。海外ベンダーでは情報の少ない脅威についての知見を活かし、CSIRTをご支援します。
標的型攻撃の特徴と対策について
標的型攻撃者グループは、特定の個人・組織に対して明確な意思・目的を持ち、執拗かつ長期的に攻撃を行います。その為、迅速に標的型攻撃かどうかを判断し適切な対応を行うことが重要です。また、セキュリティ製品による防御や人の気づきにより未然に攻撃を防げたものに関しても標的型攻撃の可能性があるものに関しては、プロアクティブに調査・判定する事が重要です。
例) 違和感のない自然な日本語で記載された攻撃メールの検知、クレデンシャルダンプツールの発見、サーバ上でバックドア型のマルウェアが検知された等。
標的型攻撃の場合は、攻撃が防がれた場合でも別手口で攻撃をしかけて執拗に内部への侵入を試みるため、標的型攻撃を受けたと判明した場合は、別手口で内部に侵入されていないかを調査するスレットハンティングも有効です。
サービスの特長
本サービスは、以下3つのメニューを用意しています。
サービス名称 | 内容 |
---|---|
クイックトリアージ | 動的解析(サンドボックス解析)で、ファイルの危険度判定と感染痕跡を調査します。 |
検体詳細解析 | サンドボックス解析では動かず分析が困難なマルウェアを逆アセンブラ等のツールで調査対象のファイルをコードレベルで詳細に解析 |
クイックトリアージ
未知のドロッパー(Office形式のファイル等)やコードを暗号化しているマルウェアの場合、脅威インテリジェンス照合だけでは判定が難しいケースがあります。本サービスでは、CSIRTに代わり専門アナリストが、危険度を判定するためにファイルのメタデータ分析や動的解析を行い調査します。危険度と調査の中で得られたドロップするファイル、操作するレジストリ、通信先等の感染痕跡(IOC)を報告します。また、調査で得られたIOCを弊社の脅威インテリジェンス、OSINT(オープンソースインテリジェンス)を活用し、より正確な危険度判定に努めます。攻撃者が特定できた場合は、そのグループの概要についても報告します。
図1.OSINTで関連情報をピボット
報告形式 | 専用ポータルおよびメール |
---|---|
報告内容 |
|
調査対象 |
|
目標回答時間 | 弊社営業時間内で、受付後6時間以内 |
図2.報告内容サンプル
検体詳細解析
専門アナリストが動的解析(サンドボックス)では動かず調査が困難なマルウェアを逆アセンブラ等のツールを使い、アセンブリコードレベルで対象ファイルを詳細に解析し、危険度、マルウェアの機能、感染痕跡を調査します。
図3.クイックトリアージと検体詳細解析の違い
報告形式 | 報告レポート(A4で10ページ程度) |
---|---|
報告内容 |
|
調査対象 |
※Linux/macOS(x86/x86-64)は、別途ご相談 |
目標回答時間 | 弊社営業時間内で、受付後7営業日以内 |
図4.報告内容サンプル