CISA’s Malware Analysis Platform Could Foster Better Threat Intel
2024/04/13 DarkReading — 今週のはじめに、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、誰もが Malware Next-Gen Analysis を利用できるようにした。それにより、潜在的な悪意が疑われるファイル/URL/IP アドレスなどを分析するための、新たなリソースがユーザー組織に提供されることになった。今後の課題は、ユーザー組織やセキュリティ研究者たちが、このプラットフォームを活用する方法にあり、また、VirusTotal などのマルウェア解析サービスを超えて、どのような新たな脅威インテリジェンスが可能になるかという点にある。
Malware Next-Gen プラットフォームは、動的/静的な解析ツールにより、提出されたサンプルを解析し、悪意の有無を判断する。CISA によると、マルウェア Next-Gen プラットフォームは、新たなマルウェアのサンプルに対して、被害者のシステム上で実行されるコードの機能やアクションなどについて、タイムリーで実用的な情報を得る方法をユーザー組織に提供する。
CISA は、このようなインテリジェンスは、企業のセキュリティ・チームにとって、脅威の発見やインシデント・レスポンスのために極めて重要であると指摘している。
CISA の Executive Assistant Director for Cybersecurity である Eric Goldstein は、「私たちの新しい自動化されたシステムにより、CISA のサイバーセキュリティ脅威調査アナリストたちは、データの分析能力を高め、サイバー脅威に関する洞察を相関/充実させ、パートナーと共有できる。このプラットフォームは、進化するサイバー脅威に対する迅速かつ効果的な対応を促進/支援し、重要なシステムやインフラの保護を目的とする」と、声明を発している。
2023年10月に CISA は、このプラットフォームを展開を開始した。それ以来、米国の連邦/州/地方における各種の政府機関からの約 400人の登録ユーザーが、Malware Next-Gen に対して分析用のサンプルを提出した。これまでにユーザーが提出した1,600以上のファイルのうち、約 200の不審なファイル/URL を、CISA は特定している。
今週に CISA は、このプラットフォームを、誰もが利用できるようにした。それにより、あらゆる組織や、セキュリティ研究者、個人であっても、悪意のファイルなどのアーティファクトを提出し、分析と報告を受けることが可能になった。ただし CISA は、同プラットフォームの登録ユーザーのみに分析を提供するという。
証明書のライフサイクル管理ベンダー Sectigo の Senior VP である Jason Soroko は、CISA の Malware Next-Generation Analysis に期待されるのは、潜在的に提供できる洞察力にある。他のシステムが集中するのは、”以前に見たことがあり、悪意があるかどうか “という質問への回答にある。その一方で、CISA のアプローチは、”このサンプルは悪意のあるものなのか、何をするものなのか、以前に見たことがあるものなのか “というものである。したがって、優先順位が変わってしまうかもしれない」と述べている。
マルウェア解析プラットフォーム
現時点で提供されている、いくつかのプラットフォーム、それぞれのアンチウイルス・スキャナと静的/動的解析ツールを使用して、ファイルや URL にマルウェアなどに、悪意のあるコンテンツが含まれているかどうかをい解析するものだ (VirusTotal が最も広く知られている)。
このようなプラットフォームは、既知のマルウェア・サンプルと、それに関連する挙動に関する一元的なリソースの役割を果たしている。そして、セキュリティ研究者やチームが、新たなマルウェアに関連するリスクを特定/評価するために利用している。
CISA の Malware Next-Gen が、それらのサービスと、どの程度異なるのかは、いまは分かっていない。
Soroko は、「現時点において米国政府は、利用可能な他のオープンソースのサンドボックス分析オプションと、何が異なるのかについて詳しく説明していない。米国政府機関をターゲットにしたマルウェアの分析に、登録ユーザーがアクセスできることは、貴重なものになる可能性が高い。CISA の詳細な分析にアクセスできることは、参加する理由になるだろう。ただし、それが、他のオープンソースのサンドボックス分析環境よりも優れているのか、それとも同じなのかは、米国政府以外の人間には、まだ分からない」と指摘している。
違いを生み出す
Critical Start の Senior Manager である Callie Guenther は、「データの機密性やコンプライアンス上の問題から、政府運営のプラットフォームにサンプルなどのアーティファクトの提供に、少し慎重な組織も当初はあるかもしれない。しかし、脅威インテリジェンスの観点からは、潜在的なプラス面が参加を促す可能性がある。CISA と共有するかどうかは、集団的安全保障の強化と機密情報の保護とのバランスの考慮が必要になるだろう」と言う。
Qualys の VP of Engineering である Saumitra Das は、 「サンドボックスを回避するマルウェア・サンプルを検出する機能に、CISA が投資することで、このプラットフォームは差別化され、より大きな価値を提供できる。CISA は、AI ベースのマルウェア・サンプル分類と、耐改ざん性の高い動的解析技術の双方に投資することで、侵害の指標を、より的確に発見できるようになるはずだ」と述べている。
Saumitra Das は、「Linux システムを標的とするマルウェアに対して、これまで以上に焦点を当てることも、大きな改善につながるだろう。Kubernetes やクラウド・ネイティブへの移行が進行中であり、また、Linux マルウェアは増加傾向にあり、Windows マルウェアとは大きく異る構造を持っている」と付け加えている。
なんというか、CISA の勢いがすごいですね。ここまで領域を広げてしまい、たとえば VirusTotal などのビジネスを圧迫しないのでしょうか?そのあたりが、ちょっと気になります。それは、CISA KEV についても言えることですが、もし、”民間 KEV” が CISA に入り込んでしまうと、収集がつかなくなるので、それは無いと思います。官と民の間の線引が難しいですね。
IoT OT Security News 
You must be logged in to post a comment.