第1回では、観測結果から見えてきた日本をターゲットにした標的型攻撃の実態を解説した。観測・収集した情報は、いわゆる「スレットインテリジェンス(マルウエアの傾向や攻撃者の情報、アドバイスといった見識)」の一つである。

 第2回では、企業や団体でインシデント(セキュリティ上の事故)に対応する「CSIRT(Computer Security Incident Response Team)」や情報セキュリティ室が、このスレットインテリジェンスを利用して、当社と連携しながら効果的に標的型攻撃に対策した事例を紹介しよう。

複数の情報ソースを活用

 筆者が所属するスレットリサーチラボは第1回で述べた通り、基本的にはDNSシンクホールを観測対象としている。それに加え、HTTPサーバーなども模擬することで、マルウエア(悪意のあるソフトウエア)からHTTPサーバーへの通信も観測している。このHTTPサーバーはマルウエアの配布サイトである可能性が高い。

 ただし、HTTPサーバーへの通信の観測で得る情報をそのまま解析に利用できるわけではない。観測情報を基に、その情報にひも付くアクセス元のIPアドレスから、IPアドレスやドメイン名の登録者に関する情報などを調べられる「Whois」などを利用して、DNSクエリーやHTTP通信を発信した利用者や組織情報などを調べる。

 Whoisに組織名などが正式に登録されていない場合、登録情報を基にさらに検索するなどして組織を割り出すこともある。こうして導き出した組織が、マルウエアに感染した可能性の高い組織となる。さらに、収集した情報を分析して、目的に即したスレットインテリジェンスを作成していく。