カスペルスキー、「Kaspersky Threat Analysis」に類似サンプル検索を追加

記事の画像

　カスペルスキーは、脅威分析サービス「Kaspersky Threat Analysis」に「類似サンプル検索（Similarity）」ツールを新たに搭載し、4月4日に提供を開始した。また、提供中のツール「Kaspersky Threat Attribution Engine」では、パスワード保護ファイル分析、脅威アクターレポートとの連携など新機能を追加した。これにともない、ライセンス体系も日単位から年単位に変更して提供する。脅威インテリジェンスサービスのポータルサイト「Kaspersky Threat Intelligence Portal」から利用可能で、法人を対象としパートナー経由で販売する。

　Kaspersky Threat Analysisは、脅威に対する十分な情報に基づいた意思決定を可能にする、包括的な脅威分析ツールセット。動的分析、静的分析、アンチウイルス、属性分析を組み合わせてあらゆる角度から状況を分析することが可能になり、脅威の全体像を把握して攻撃が開始される前でも十分な情報に基づき判断し、脅威に対して迅速・効果的に対応することができる。

　今回新たに追加した類似サンプル検索は、機械学習の手法を使用して分析対象となる不審なファイルの仕様を抽出し、同社がもつ既知のサイバー脅威情報から類似性を持つほかのマルウェアの情報を提供する機能。不審なファイルがマルウェアだった場合は、その亜種の有無や特徴を把握することができる。「Threat Lookup」を使用している場合は、類似性があるマルウェアのダウンロード元とダウンロード先、潜伏先（ファイルパス）、ファイル実行時のアクセス先とダウンロードされるファイルなどの詳細情報も表示する

　類似サンプル検索によって提供される情報をインシデントレスポンスに使用することで、不審なファイルのみを解析するだけではわからなかった関連する亜種への対策も講じることができ、セキュリティーコントロールの強化が行える。

　Kaspersky Threat Attribution Engineは、分析対象の不審なファイルから抽出した16バイト長のバイナリ断片と、同社リサーチャーがこれまでにAPT攻撃に関して分析し収集したデータベースを、独自の類似コード技術を用いて比較し、特定のAPT活動グループまたは攻撃活動との関連付けを表示するもの。

　今回の機能強化により、新たにパスワードで保護されたアーカイブファイルの分析が可能になった。パスワードで保護されたアーカイブは「Kaspersky Threat Attribution Engine」によって解凍され、パスワード保護のないほかのファイルと同様にすべてのオブジェクトが完全に分析処理される。

　また、「APT Intelligence Reporting」との連携を強化し、分析結果の脅威アクター名をクリックすることで、分析で特定されたアクターに関連する「APT Intelligence Reporting」のレポートの一部を抽出して表示できるようになった（同サービスを契約している場合）。脅威アクターがペイロードをダウンロードさせるために使用する手法やツール、検知回避するための難読化の手法、ペイロード実行後に行われるバックドア設置など永続化の手法ほか技術的詳細を理解することで、脅威に対する適切な対策や脅威ハンティングを行うことができる。

　1ライセンス当たりの1年の解析回数上限と税別価格は、1000回が117万1535円、2500回が195万2558円、5000回が331万9348円、1万回が585万7674円。既存のライセンスをもっている場合は、契約満了後に1年単位のライセンスを利用できる。