CSIRT担当者視点で考える「脅威インテリジェンス」の活用サイクル

　NTTデータ先端技術では、さまざまなシステム開発を通じて得た実践的な技術ナレッジを、体系立てて発信しています。今回は、脅威インテリジェンスの運用サイクルについて解説します。
　NTTデータ先端技術 コラム一覧：https://www.intellilink.co.jp/columnlisting.aspx
------------------------------------------------------------------------------------------------------------------
　脅威インテリジェンスとは、「脅威について人がわかりやすく分析・蓄積し、これらによって敵を知ることができる情報」です。この脅威インテリジェンスは、マシンリーダブルなIoC（Indicator of Compromise）を中心とした情報を核にし、体系立てた整理や人間による分析を経て得られるヒューマンリーダブルな情報で（下図参照）、一般的に、ヒューマンリーダブル寄りの情報になるほど、効率的に脅威の調査ができる情報となります。



[画像1]https://user.pr-automation.jp/simg/1718/57088/400_236_20220323170240623ad4203d3d6.png


　一方で、脅威インテリジェンスの収集や活用は、目的を誤ると使い物にならなかったり無駄なリソースを費やしたりすることにもつながります。そこで、組織において活用目的を定めてそれに応じた活用サイクルを効果的に回すためのポイントについて解説します。



[画像2]https://user.pr-automation.jp/simg/1718/57088/600_299_20220324105412623bcf443505e.png







インシデント対応に従事する観点での活用サイクル
(1) 目標選定：どのように活用するか？
　どのように脅威インテリジェンスを活用するのかは、組織ごとに異なります。何の目的で、どのように脅威インテリジェンスを活用するのかを定めておくことが必要です。簡単な例を下記に示します。

● 予防フェーズ（通信検知、遮断など）
「端末からインターネットへの不審な通信を止めたい」というユースケースです。C2サーバー（Command and Control server）やフィッシングサイトなどの悪性な通信先を収集し、セキュリティ機器などに適用することに特化した活用方法です。

● 対応フェーズ（インシデント調査、対処など）
「セキュリティ機器などで検知した情報の詳細調査をしたい」というユースケースです。調査の糸口となるように広く多数のIoCを収集することが求められますが、IoCの情報だけでは仮にログ等で合致しても「なんの脅威か」はわかりません。このため、脅威を特徴づける情報も収集し、その情報をIoCに付与して脅威インテリジェンスを育てていく作業も求められる活用方法です。

以降は、上記の「対応フェーズ」での活用を例にとりながら説明を進めます。

(2) 収集：どのような脅威インテリジェンスを入手するか？
　＜(1) 目標選定＞に沿うIoCを集めていきます。対応フェーズでの活用においては、調査の糸口となるよう広く多数のIoCを収集しつつ、極力脅威を特徴づける情報が含まれるものを取得すると効果的です。下記に、参考となる情報元や情報の選定基準を記載します。



[画像3]https://user.pr-automation.jp/simg/1718/57088/700_390_20220324143843623c03e332d20.JPG




[画像4]https://user.pr-automation.jp/simg/1718/57088/700_332_20220324143848623c03e81c109.JPG


　我々CSIRTのメンバーは、IoCが調査の糸口となるよう、数量を重視（複数のFeedから多数のIoCを取得）しています。統計的にIoCの母数が増えることや、機械的に検知/提供された（人による分析が行われない）IoCも取得することになり、精度（誤検知率）は若干悪くなりますが、調査では人によるIoCの精査も併せて行うため、調査結果の精度には影響しません。

※通信遮断など機械的にIoCを活用する場合は、精度や鮮度を重視するのが良いでしょう。真に遮断すべきIoCを機器に設定することで誤検知を減らし、システム的/人的リソースの減少にもつながります。

(3) 処理：どうやって脅威インテリジェンスをため込むか？
　＜(2) 収集＞で集めたIoCを整形したり、データベースに蓄積したりする作業です。IoCの活用目的や量によって専用のツールを使うのが良いでしょう。


[画像5]https://user.pr-automation.jp/simg/1718/57088/400_284_20220324105420623bcf4cbbc5f.png


● 少量のインテリジェンスを収集する
● Proxyへのブラックリスト適用は手動で行う
　→ExcelやCSVファイルを蓄積媒体とし、人/専用のスクリプトで記入していきます。しかし、下記のような高度な使い方にはあまり適していません。
　　　　　　　　　　　　　↓
● 複数のFeedから多数のインテリジェンスを収集したい
● アナリストによる脅威インテリジェンスの分析を行いたい
● セキュリティ機器との連携を自動化したい　など
　→このようなユースケースの場合は、脅威インテリジェンスを集める専用のツール「TIP（Threat Intelligence Platform）」を用いるのが良いでしょう。指定したFeedから定期的なIoCの収集機能や、WebUIやAPIを用いた検索機能、特定のIoCのみの抽出機能や他機器との連携プラグインなどが備わっているものがほとんどです。有名どころではオープンソースのMISPや有償のEclecticIQ Platform（以降、EIQ）などのツールがあります。
　

　NTTデータ先端技術のCSIRTでは、2013年より独自システムによるIoCの収集/蓄積を行っており、昨今ではMISPとEIQも併用しています。



[画像6]https://user.pr-automation.jp/simg/1718/57088/250_186_20220323170316623ad4448eb54.png


収集・共有に特化したTIP。APIが充実しており、独自処理の追加や機器との連携が充実。




[画像7]https://user.pr-automation.jp/simg/1718/57088/400_57_20220323170319623ad4476a08a.png


分析に特化したTIP。アナリストによる分析結果の記入や関連情報のグラフ化機能などが充実。

(4) 分析：情報の整理や追加情報の付与
　IoCのようなマシンリーダブルな情報だけでは、仮にログ等で該当しても、「何の脅威か」はわかりません。分析作業は、IoCに情報を付加しヒューマンリーダブルな情報（脅威情報や脅威インテリジェンス）に近づける作業です。

　対応フェーズでの活用においては、IoCとして入手した悪性な通信先に対して、「マルウェアA」というタグを付与したり、マルウェアAの検体ハッシュ値を通信先の関連IoCとしてグルーピングしたり、マルウェア解析などから得た攻撃者や攻撃手法などをIoCにコメントとして記入したりします。

　この作業は、言い換えれば「脅威に関するレポート」を作成するようなイメージです。基本的には人が実施する作業であり、時間と手間はかかりますが、ログ調査や端末フォレンジックなどを効率的に進められるようになります。

　MISPやEIQなどのTIPでは、このような作業を支える機能が標準搭載されています（下図参照）。




[画像8]https://user.pr-automation.jp/simg/1718/57088/500_261_20220324105432623bcf5823fc5.png
MISPによる分析作業の例



[画像9]https://user.pr-automation.jp/simg/1718/57088/500_261_20220324105437623bcf5d5ad8e.png

EclecticIQ Platformにおける分析作業の例




(5) 利用：端末調査や通信遮断
　収集/分析したIoCを実際に利用していきます。対応フェーズでの活用において最も典型的な利用例は、端末のマルウェア感染有無調査が挙げられます。

　まずは調査の糸口として、ネットワーク機器、Proxyサーバーなどのログから特定期間内の通信先一覧を抽出し、これをTIP内に蓄積した多数のIoCと照合させることで、悪性な通信先へのアクセスがあったかの確認に利用できます。また、IDS/IPS等のセキュリティ機器で悪性な通信を検知した場合は、その検知結果をTIPで検索することにより、IDS/IPSでの検知結果の悪性度合いを第三者的に測るという使い方もできます。

　＜(4) 分析＞で悪性な通信先と関連するIoCとの紐づけができている場合は、通信先からマルウェアのハッシュ値やマルウェア名などの追加情報も手に入れることが可能です。これにより、端末のハッシュ値や、マルウェア名や攻撃手法などから端末のアプリケーション実行履歴など、他の観点を用いた調査にもつながります。

　なお、合致したIoCは通信遮断にも利用できます。ただし、「合致したものを何でもかんでも遮断すればよい」というわけではありません。下記のようなケースにより遮断の効果が得られない可能性が考えられるため、必ず人の目による精査や他のセキュリティ機器での検知結果を参考にしながら、遮断を行います。

● IoCの鮮度が落ちている
　数か月前までは攻撃で用いられていたIPアドレス/ドメインであっても、攻撃者が攻撃環境を乗り換え、現在は使われていない可能性があります。

● ホスティングサービスや公開ProxyなどのIPアドレス/ドメイン
　プールされたアドレスを複数の利用者（攻撃者も含む）が所有している可能性があり、時々に応じてその素性は異なる場合があります。

● 正規サイトが所有するIPアドレス/ドメイン
　マルウェアの中には、GitHubやOneDriveなどの正規サービスからペイロードをダウンロードする場合がありますが、このようなサービスを一括遮断してしまうと、組織内での正規利用に影響を及ぼす可能性があります。





[画像10]https://user.pr-automation.jp/simg/1718/57088/700_253_20220324105536623bcf98da586.png




(6) フィードバック：各作業の改善
　＜(5) 利用＞の結果を元に、各作業の改善を行っていきます。下記に一例を示します。

(2) 収集
　実際に利用してみて有益なFeedであったかを元に、既存のFeedの削除や新たなFeedの追加を検討する
(3) 処理
　システムのリソース利用状況や調査での利用実績を元に、IoCの取り込み頻度や対象を見直す
　IoCの提供形式に変更はないか、必要に応じてスクリプトやTIPの設定を変更する
　Feed間で重複するIoCや特定期間が経ったIoCを削除する
(4) 分析
　IoCに付与するタグやコメント等の記述方法を統一化する
　IoCに対してインシデントの調査結果などを記録し、別のインシデント対応の際の効率化につながる
(5) 利用
　タグ/コメントの記述統一化を行い、IoCの検索方法を見直す
　TIPを用いてIoC照合などの処理の自動化を検討する
　調査で利用し、その結果を記録したIoCを自組織/他組織へ共有する


まとめ
　今回は、脅威インテリジェンスの活用サイクルについて深堀しました。調査で用いるためのIoCをどのように収集し、どのように利用しているか、皆さんの参考になれば幸いです。
--
執筆者：セキュリティ事業本部 セキュリティレジリエンス事業部 インシデントレスポンス担当（IL-CSIRT） 小杉 祥樹


　今回の「CSIRT担当者視点で考える『脅威インテリジェンス』の活用サイクル」は、当社コラムの内容をもとに紹介しています。
実務者視点で考える脅威インテリジェンス（第二回）
https://www.intellilink.co.jp/column/security/2022/032500.aspx

　当社では、脅威インテリジェンスに関するコラムを他にも掲載しています。ぜひご覧ください。

＜広義の脅威インテリジェンス＞
次の情報セキュリティマネジメントに求められる脅威インテリジェンスの初歩
https://www.intellilink.co.jp/column/security/2022/011800.aspx

＜CSIRT担当者目線での脅威インテリジェンス＞
実務者視点で考える脅威インテリジェンス（第一回）
https://www.intellilink.co.jp/column/security/2021/032600.aspx

■NTTデータ先端技術について
NTTデータ先端技術は、NTTデータグループの技術面を支える中核会社として1999年に設立されました。基盤・ソフトウェア・セキュリティの3本柱のソリューション事業を通じて、お客様に価値を提供することを目指しています。NTTデータ先端技術に関する詳細な情報については、https://www.intellilink.co.jp/
をご覧ください。

＊文中の商品名、会社名、団体名は、各社の商標または登録商標です。