セキュリティ対策やネットワーク、AI、DXなどのソリューションを提供するマクニカネットワークス株式会社（以下、マクニカネットワークス、本社：神奈川県横浜市港北区新横浜1-5-5、代表取締役社長：池田　遵）は、標的型攻撃を長年に渡って調査・解析する中で蓄積した独自の脅威インテリジェンスの提供を開始したことを発表します。

近年、特に国家関与が疑われる高度な標的型攻撃（サイバースパイ）について米国や日本国内の様々な機関から警戒が促されるなど、標的型攻撃対策の必要性がより一層高まっています。これまで、本脅威インテリジェンスは主にマクニカネットワークスの研究や外部機関と連携した調査活動に用いていましたが、標的型攻撃への対策に取り組む組織に寄与するべくお客様へ提供することとしました。

一般的に、脅威インテリジェンスはファイルのハッシュ値、通信先（IPアドレス、ドメイン）がブラックリストの形態で提供されており、アンチウイルスやファイアウォール等のセキュリティ製品に適用されています。しかしながら、攻撃者にとってハッシュ値、通信先の変更は容易であるため、これらのブラックリストを利用するだけでは自組織を狙った標的型攻撃の検知が困難であるのが実情です。また、近年では攻撃者が、マルウェアとしての主機能を暗号化しているファイルを使用したり、実行時に主機能のコードを外部サーバからメモリ上にダウンロードしたりする事で、ハードディスク上に痕跡を残さない手法を多く使うのを観測しています。これにより従来のファイル検査が主であるセキュリティ製品による検知が回避される傾向にあります。

この度、マクニカネットワークスが提供する脅威インテリジェンスは、主に日本の組織に着弾した標的型攻撃の調査・マルウェア解析を基に作成したYARAルール※の形態で提供します。マクニカネットワークスではマルウェアの解析を通して得た、変更頻度が少ないコードレベルの特徴をルール化しています。ファイルとして残らないメモリ上にのみ展開される悪意のあるコードの検知も対象としたルールを作成しており、メモリスキャンが可能な調査ツール、製品でご利用いただく事で標的型攻撃の調査・検知を支援します。

組織のCSIRTは本脅威インテリジェンスを活用することで、マルウェアの解析やフォレンジック、スレットハンティングといったセキュリティの高い専門性と時間が必要とされる業務において、標的型攻撃の検知精度を高めることができます。組織は本脅威インテリジェンスによって、既存の脅威インテリジェンスを補完または拡充する事ができます。

なお、マクニカネットワークスでは本脅威インテリジェンスを適用したスレットハンティングサービスも提供しています。調査対象の端末にかかる負荷は低く、1台あたり約30分～1時間と短時間でスキャンが完了します。1台から数万台まで一斉に調査できる点も特徴で、EDRソリューションを未導入の環境やEDRでは検知できなかったインシデントへの対応にも有効です。

マクニカネットワークスはこれからもサイバー攻撃対策に必要となる最新のセキュリティポートフォリオを拡充し、日本のセキュリティレベルの向上に寄与してまいります。

※YARAルール
YARAは、サイバーセキュリティ研究者によるマルウェアの識別・分類を支援するために開発されたオープンソースツールです。Windows/Linux/Mac OSXと、マルチプラットフォーム対応でテキスト、バイナリパターンを使った検知ルールを記述する事ができ、多くのセキュリティ製品・分析ツールがサポートしています。