株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2018年02月06日 | ラックピープル

情報共有基盤「MISP」への脅威情報の登録を支援するツールを公開

サイバー・グリッド・ジャパンの外谷です。
先日、私が開発したサイバー脅威情報プラットフォーム「MISP」用のツールをオープンソースとして公開しました。このツールが何に使えるのか、そもそもMISPとは何かという点について紹介します。

はじめに

ラックの研究開発部門であるサイバー・グリッド・ジャパンでは現在、「サイバー脅威情報」を活用したセキュリティ対策の研究・開発を行っています。
「サイバー脅威情報」とは、Cyber Threat Intelligenceの訳で(他に、サイバー・スレット・インテリジェンス、サイバー脅威インテリジェンスなど、表現の仕方はさまざま)、サイバー攻撃という脅威に関する情報を集約・蓄積し、分析することでセキュリティ対策に活かす取り組みを指します。
現在の取り組みの詳細は、サイバー・グリッド・ジャパンの情報誌「CYBER GRID JOURNAL Vol.4」(2017年9月発行)*1 に、記事を掲載していますので、そちらもご覧ください。

MISPとは

サイバー・グリッド・ジャパンでは、この「サイバー脅威情報」を活用した研究の具体的アプローチの1つとして、オープンソースの情報共有プラットフォームである「MISP(Malware Information Sharing Platform)」*2 を使った脅威分析の取り組みを進めています。MISPの開発は2011年から始まり、現在はCIRCL*3 を中心としてオープンソースプロジェクトとして開発が盛んに行われています。コミュニティもボランティアベースで形成されており、日本からもFIRST*4 を通じてMISPコミュニティに当社を含めて数組織が参加しています。MISPでは、マルウェアを中心としたサイバー脅威関連情報の一元管理や組織間での情報共有が可能で、さらに、このMISP内に蓄積した情報間の関連性を自動的にチェックすることも可能となっています。

図1 MISPの画面サンプル(引用元:MISP Project)

図1 MISPの画面サンプル(引用元:MISP Project)

...と書いてもなかなかイメージがわかないかと思いますので、具体的なユースケースを挙げてみます。

  1. インターネット上で公開されたマルウェアAの情報をMISPに登録
    ※マルウェアAのハッシュ値や通信先サーバ(C2サーバ)のアドレスなどの情報がブログ等で公開されていたものと想定します
  2. お客様ネットワーク内で不審な通信が発生していることを監視機器(IPSなど)が検知
  3. 2 で検知された通信先の情報をMISPに登録
    ⇒ 1 で登録したマルウェアAの通信先と一致することがMISPの画面上ですぐに確認可能

上記だけであれば、マルウェアAの情報を社内のセキュリティ担当者が把握しておいて、不審な通信が検知された段階で原因を紐付けることは可能かもしれません。しかし、マルウェアの種類は日々増加し続けており、通信先となるC2サーバのアドレスも日々変化しています。このような環境で、人力で情報を収集し、情報の紐付けを行うのは現実的ではありません。こういった場面でMISPを活用することで、膨大な情報との照合をローコストで実現することが可能となります。

MISPを使ったサイバー脅威情報プラットフォームの構築

ご紹介したように、MISPを活用することで、様々な情報源から登録されたサイバー脅威情報の関連性が容易に把握できるようになります。私たちはその情報源からMISPに蓄積されたデータの関連性を抽出して新たな脅威となり得る情報の特定につなげ、セキュリティ対策に活かす取り組みを進めていきます。

今回公開した「MISP-CSVImport」について

図2 「MISP-CSVImport」イメージ図

図2 「MISP-CSVImport」イメージ図

今回私が公開したツール*5 は、MISPに対して、CSVやTSVなどのファイルで作成していた情報を一括で登録することができます。上で提示したユースケースでいうと、

> 1. インターネット上で公開されたマルウェアAの情報をMISPに登録

の部分を簡単に行うためのものです。MISPの基本機能では、ハッシュ1件ごと、IPアドレス1つずつなど、登録したい情報を1つずつ手動で登録する必要があり、情報量が多いと作業が煩雑になってしまいます。その点、MISP-CSVImportを利用すれば、登録したい情報を一度のツール実行でまとめて登録することが可能です。
このMISP-CSVImportツールは、もともと研究活動の過程で必要性を感じて作成したツールですが、一般的なニーズもあるのではないかと考え、1月29日に、オープンソースとしてGitHubに公開しました。
このツールを使うことで、新たにMISPを導入しようとした際に、例えばそれまでエクセルで管理していたサイバー脅威情報をまとめてMISPに登録したいというような場合に役立つのではないかと考えています。

なお、類似したCSVファイルからのMISPイベントへのアトリビュート登録機能*6 が私たちのツール公開と同時期に行われました。こちらはMISP自体の機能の一部としてGUIでの利用が可能というメリットが存在します。一方、私たちが公開したMISP-CSVImportはコマンドラインベースであり、次のようなメリットがあります。

  • 複数イベントを一括して登録できる
  • イベントごとにインポートユーザを指定することができる
  • 元々の開発経緯の影響でエクセルから出力したTSVファイルの取り込みに強い

このように1つの機能についても複数の開発者がより良い実装を目指してソースを公開できるというのがオープンソースのすばらしい部分だと思います。ぜひ用途に応じて使い分けていただければと思います。

おわりに

現在はMISPに蓄積されたサイバー脅威情報の分析をテーマに研究活動を進めていますが、ゆくゆくはこの取り組みをラックならではのサイバー脅威情報の創出や、より先進的なセキュリティ対策につなげていきたいと考えています。
その計画においては、MISPが重要な役割を果たしています。今回のようなツール公開やオープンソース活動を通じて、引き続きMISP等のオープンソースプロジェクトに貢献できればと考えています。


この記事は役に立ちましたか?

はい いいえ

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top