Mpression Cyber Security Service™

エムプレッション サイバーセキュリティサービス
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU

Mpression Cyber Security Service™

エムプレッション サイバーセキュリティサービス

トリアージサービス

専門アナリストが、不審なファイルを調査しCSIRTのインシデント対応を支援

CSIRT(シーサート: Computer Security Incident Response Team)は、運用しているセキュリティ製品の検知や作業の中で発見された不審な痕跡(ファイル、通信、操作ログ)、外部機関からの連絡等を受け、インシデント調査・対応を行います。但しCSIRTのリソースは、有限であり各インシデントのトリアージ(優先付け)を行い対応する必要があります。

本サービスは、専門アナリストが不審なファイルを調査、その危険度と感染痕跡を報告しCSIRTのインシデント対応を支援します。

  • ケース1
    セキュリティ製品が検知したファイルが、どのようなものなのかを調査したい。金銭窃取を目的としたランサムウェア、Emotetのようなバラマキ型なのかそれとも知的財産を目的とした標的型攻撃なのか。
  • ケース2
    ユーザがメールに添付されていた不審なファイルを実行した可能性があり、調査のために感染痕跡(通信先など)を知りたい。

本サービスは、日本企業をターゲットとする標的型攻撃の分析に特化した専門アナリストによる標的型攻撃の判定を行います。海外ベンダーでは情報の少ない脅威についての知見を活かし、CSIRTをご支援します。

標的型攻撃の特徴と対策について

標的型攻撃者グループは、特定の個人・組織に対して明確な意思・目的を持ち、執拗かつ長期的に攻撃を行います。その為、迅速に標的型攻撃かどうかを判断し適切な対応を行うことが重要です。また、セキュリティ製品による防御や人の気づきにより未然に攻撃を防げたものに関しても標的型攻撃の可能性があるものに関しては、プロアクティブに調査・判定する事が重要です。

例) 違和感のない自然な日本語で記載された攻撃メールの検知、クレデンシャルダンプツールの発見、サーバ上でバックドア型のマルウェアが検知された等。

標的型攻撃の場合は、攻撃が防がれた場合でも別手口で攻撃をしかけて執拗に内部への侵入を試みるため、標的型攻撃を受けたと判明した場合は、別手口で内部に侵入されていないかを調査するスレットハンティングも有効です。

サービスの特長

本サービスは、以下3つのメニューを用意しています。

サービス名称 内容
クイックトリアージ 動的解析(サンドボックス解析)で、ファイルの危険度判定と感染痕跡を調査します。
検体詳細解析 サンドボックス解析では動かず分析が困難なマルウェアを逆アセンブラ等のツールで調査対象のファイルをコードレベルで詳細に解析
侵害調査 感染被疑がある機器上で実行したファストフォレンジック(早急な調査に必要な最低限のデータを収集し解析する手法)ツールのデータを分析し、調査します。

クイックトリアージ

未知のドロッパー(Office形式のファイル等)やコードを暗号化しているマルウェアの場合、脅威インテリジェンス照合だけでは判定が難しいケースがあります。本サービスでは、CSIRTに代わり専門アナリストが、危険度を判定するためにファイルのメタデータ分析や動的解析を行い調査します。危険度と調査の中で得られたドロップするファイル、操作するレジストリ、通信先等の感染痕跡(IOC)を報告します。また、調査で得られたIOCを弊社の脅威インテリジェンス、OSINT(オープンソースインテリジェンス)を活用し、より正確な危険度判定に努めます。攻撃者が特定できた場合は、そのグループの概要についても報告します。

図1.OSINTで関連情報をピボット

報告形式 専用ポータルおよびメール
報告内容
  • 調査対象ファイルの危険度
  • マルウェアの種類 (ドロッパー、RAT等)
  • 感染痕跡(インディケーター情報)
  • 解析結果
  • 攻撃者グループ概要
調査対象
  • 標準的なWindows(32bit/64bit)実行可能なファイル
  • Microsoft Office形式のファイル
  • PDF形式のファイル
目標回答時間 弊社営業時間内で、受付後6時間以内

クイックトリアージサービス規約はこちらをご参照ください。

https://www.macnica.net/file/mpressioncss_qts_agreement_ver4.pdf

図2.報告内容サンプル

検体詳細解析

専門アナリストが動的解析(サンドボックス)では動かず調査が困難なマルウェアを逆アセンブラ等のツールを使い、アセンブリコードレベルで対象ファイルを詳細に解析し、危険度、マルウェアの機能、感染痕跡を調査します。

図3.クイックトリアージと検体詳細解析の違い

報告形式 報告レポート(A4で10ページ程度)
報告内容
  • 調査対象ファイルの危険度
  • 解析結果詳細
  • 感染痕跡(インディケーター情報)
  • 推奨対策
  • 参考情報
調査対象
  • 標準的なWindows(32bit/64bit)実行可能なファイル
  • Microsoft Office形式のファイル
  • PDF形式のファイル

※Linux/macOS(x86/x86-64)は、別途ご相談

目標回答時間 弊社営業時間内で、受付後7営業日以内

図4.報告内容サンプル

端末調査

侵害された可能性がある機器上でインストール不要であるファストフォレンジックツールを実行し、クラウド上に構築されている管理サーバへアップロードされたデータを専門アナリストが調査します。調査対象機器がネットワークから隔離されている場合は、弊社よりツールをメールで送付し、収集データを弊社へ送付頂く事で調査が可能です。

図5.クラウドベースの調査方法

報告形式 メール
報告内容
  • 侵害の有無

侵害があった場合下記も報告

  • 発見された侵害痕跡(マルウェア等)
  • 感染痕跡(インディケーター情報)
  • 推奨対処
調査対象

Windows (32bit/64bit 両方をサポート)
Desktop: XP SP3 / Vista / 7 / 8 / 8.1 / 10
Server: 2003 SP2 / 2008 / 2012 / 2016

※マイクロソフト セキュリティ更新プログラムKB948963、KB968730が適用されていること

Linux (64bitのみサポート)
Operating System based on Linux Kernel 2.6.25, with Glibc 2.5
Ubuntu 10.04 (Kernel 2.6.32、Glibc 2.11)
Debian 5 (Kernel 2.6.26、Glibc 2.7)
CentOS 6.10 (Kernel 2.6.32、Glibc 2.12)
RHEL 6 (Kernel 2.6.32、Glibc 2.12)
OpenSUSE 11.0 (Kernel 2.6.25、Glibc 2.8)

目標回答時間 弊社営業時間内で、受付後6時間以内