攻撃の手口を読み解く
アーティファクト分析・解析

インシデントが発生した際に残される痕跡を「アーティファクト」と呼びます。例えばマルウエアや、ツール、ネットワーク機器などで取得されるログなどもアーティファクトです。JPCERT/CCは、インシデント発生の原因などを調査するため、攻撃行為の痕跡であるアーティファクトの調査・分析を行っています［図1］。分析結果は、インシデント対応の支援に役立て、また技術情報として発信し、広く企業や組織で活用いただいています。

インシデントとアーティファクト分析

アーティファクトにはあちこちで共通的に見つかるものもあれば、特定の攻撃においてだけ見られるものもあります。分析には精度と慎重さが求められ、どのようなアプローチを選び、どこまで分析を詳細化すべきか等を、分析の目的や活用のイメージを持ち、時間などの制約を勘案して、シビアに判断することが要求されます。そのため「人」と「技術」を連携させ、効率化を図り、日々分析を行っていく必要があります。JPCERT/CCでは、各アーティファクトに合わせて柔軟に対応・分析ができるよう、常に分析環境の準備・構築および見直しを行える体制を整備しています。

アーティファクト分析は、脅威とインシデントをつなぐ手段の一つ

インシデントが発生した際には、マルウエアや各種ログ、攻撃ツールなど、様々なアーティファクトが残されている可能性があります。それら複数のアーティファクトを複合的に分析することにより、インシデントの全体像をできる限り正確に描き出す必要があります。例えば、マルウエアの分析では、マルウエアの機能や通信先を明らかにできますが、感染経路までを解明できることはまれです。アーティファクト分析では、一つの情報だけに捕らわれることなく様々な視点・観点から分析を行い、インシデントの影響範囲など、深刻さの度合いを測る指標となる情報の取得を試みます。［図1］
JPCERT/CCでは、提供いただいた各アーティファクトなどの脅威情報を、インシデントとして適切に行えるように収集・分析を行い、インシデント対応支援業務や情報発信などに活用しています。

技術情報の発信、および分析者のコミュニティの形成

拡大するサイバー攻撃に対抗するために、JPCERT/CCでは、アーティファクト分析から得られた技術的な知見を、サイバー攻撃への対策に活用できる報告書やツールにまとめて公開しています。
また、国内外のアーティファクト分析者とのカンファレンスなどを通じた技術交流も行っています。

Topへ