シマンテック マネージドセキュリティサービス 日本統括 滝口博昭氏

シマンテックは4月17日、同社の攻撃調査チームが利用している標的型攻撃を検出する技術「Symantec Targeted Attack Analytics」に関する説明会を開催した。同技術はこのほど、EDR(Endpoint Detection and Response)製品の「Advanced Threat Protection」に提供が開始された。

Targeted Attack Analyticsは、同社のエンドポイント向けセキュリティ対策製品「Symantec Endpoint Protection」が導入されているデバイスを可視化し、同社が監視しているエンドポイント、モバイル、メール、Webインテリジェンスを活用して、攻撃を発見する。攻撃を発見したら、「Advanced Threat Protection」にレポートを提供する。レポートには、影響を受けるマシン、攻撃チェーン、各段階の攻撃の詳細が記載されている。

同技術が利用できるようになることで、脅威検出の精度が高まるため、攻撃を検出する時間が短縮され、誤検知への対応に費やしていた時間を減らすことが可能になる。

Targeted Attack Analyticsについては、マネージドセキュリティサービス 日本統括の滝口博昭氏が説明を行った。同技術は、「情報収集」「データの蓄積」「糸口を発見」という3つのステップを踏んで、脅威を検出する。

情報収集は、全世界のシマンテックの顧客からのシステムとネットワーク関連のテレメトリなどを対象に行われ、データの種類はファイル、メール、ネットワーク、プロセス、システムイベントと多岐にわたる。

こうした広大な範囲、多種多様なデータを対象に収集作業を行う場合、「ユーザーのパフォーマンスを低下させない」「サードパーティのソフトウェアと衝突しない」「匿名性を確保する」といったことが課題になる。同社は、こうした課題をクリアした形で情報収集を行うため、エンドポイントのエンジンを再設計した。

次のステップである「データの蓄積」を行うにあたっては、AWS上に6PBの容量のデータレイクを構築。データレイクは1日15TBずつ増加しており、1秒未満で1万のインジケーターをクエリ可能だという。

第3のステップである「糸口を発見」においては、機械学習を活用する。クラウドを分析する「Cloud Breach Analytics」においては、情報漏洩の分析、PowerShellの異常検知、DGAを利用したC&Cビーコン、実行ファイルのラテラルムーブメントが稼働している。ユーザーログインの異常、ネットワークの異常検知、隠しネットワークチャネルの機能は現在、開発中だという。

  • 「Cloud Breach Analytics」の機能

同社の攻撃調査チームはこれまで、Targeted Attack Analyticsによって、Treehopper、Dragonfly 2.0、Thrip、Seedwormといった攻撃を発見している。

  • シマンテックの攻撃調査チームがTargeted Attack Analyticsにより発見した攻撃

また滝口氏は、同社が3月に発表した「インターネットセキュリティ脅威レポート第23号」の調査結果を引き合いに出し、標的型攻撃の動向を紹介した。同レポートにおける特徴としては、「破壊目的の攻撃が増えている」「手法はメールが多い」といったことが挙げられた。

そのほか、侵入した攻撃者がPowerShellなどの既存のツールを用いて、標的ネットワークの探索、活動範囲の拡大を狙う「ラテラルムーブメント」が見られるという。