サイバー脅威インテリジェンス（CTI）配信はじめました

はじめに

イノベーションセンター Network Analytics for Security (以下、NA4Sec) プロジェクトリーダーの神田です。

NA4Secチームでは兄弟プロジェクトであるMetemcyber（@Metemcyber） *1と連携して、サイバー脅威インテリジェンス（以下、脅威インテリジェンス） *2の配信をはじめました。本記事ではこの取り組みについて、発案者であるチームメンバーの @strinsert1Na（以下、strinsert1Na）との対談も交えながら紹介します。

NA4Secプロジェクトとは？

NA4Secプロジェクトは「NTTはインターネットを安心、安全にする社会的責務がある」を理念として、攻撃インフラの解明、撲滅を目指すプロジェクトです。 NTT Com イノベーションセンターのみならずNTTセキュリティ・ジャパンやエヌ・エフ・ラボラトリーズ（以下、NFLabs. ）からもメンバーが参画し、日夜攻撃インフラを追跡しています。

また、NTT Comグループにおける脅威インテリジェンスチームとしての側面も持ち合わせており、有事において脅威インテリジェンスを提供し、意思決定を支援することもあります。一例としてアクセスログ解析サービス Visionalist で使用していたドメインが第三者によりドロップキャッチされた際には、不審なスクリプトが配置されたインフラを分析し、リスクを評価するとともに対応を提言しました。*3

脅威インテリジェンス配信はじめました

今年度に入ってNFLabs. からマルウェアの静的解析を得意とする strinsert1Na がチームに参画しました。ここからは脅威インテリジェンス配信をはじめた経緯やその狙いについて発案者 strinsert1Na との対談形式で紹介します。

経緯

神田（以下、kanda）: 今年度からNA4Secチームに参画してもらったわけですが、もともと脅威インテリジェンス発信には興味があったのですか？

strinsert1Na: もともと個人の趣味で標的型攻撃の検体を収集したり解析したりしていて、情報発信もしていました。しかし、マルウェア解析はすごくリソースが必要な行為だし多くの企業ができるものでもない。脅威インテリジェンスサービスもすぐにIoC（Indicator of Compromise） *4を公開するとは限らない。公開情報から得られたマルウェアのIoCを信頼できる場所を使って発信できないだろうか、と考えていました。

kanda: そんなときに隣のMetemcyberチームがTwitterアカウントを使って発信する情報を探していることを知って、これはちょうどいいぞ、と。

strinsert1Na: はい(笑)。脅威インテリジェンス関連を扱っているプロジェクトだし、「そのまま脅威インテリジェンスを発信させていただきますかー」程度のノリでやってみることにしました。

狙い

kanda: 脅威インテリジェンスを発信するにあたっての思いや狙いについて聞かせてください。

strinsert1Na: 私は「日本に関連する標的型攻撃を継続的にウォッチするアカウントが欲しいなぁ」と前々から思っていたので、この理想を自分で作ってみようかなと思いました。標的型攻撃は時々刻々と手口が変化するため、「一度レポートを読んで終わり」ではなく継続的な観測と対策が必要不可欠だと私は考えています。しかし、これらの関連情報やIoCは初報以降、継続的に公開されることは多くなく、海外の脅威インテリジェンスサービスが日本関連の脅威インテリジェンスをリアルタイムに生成することも少ないです。なので、本Twitterアカウントを監視するだけでなるべく多くの人が標的型攻撃のIoCをリアルタイムで観測し、具体的な防御に活かせるようになれば...というのが狙いです。

kanda: ないなら自らやってやろうというわけですね。情報発信するにあたって何か意識したことはありますか？

strinsert1Na: 一般人が流し読むような”ポエム”ではなく、現場のエンジニアがインシデントハンドリング/スレットハンティング *5で活用できるような”戦術（Tactical）脅威インテリジェンス”の側面から価値を提供することを一番意識しています。なので、マルウェア/インテリジェンスアナリストがTweetを見ただけで脅威インテリジェンスの真偽を確認できて、IoCを収集できるような投稿にすることを心がけました。本Twitterアカウントの情報を自動収集することで、即座に防御に対する意思決定に貢献できれば嬉しいなと思っています。

実際に情報発信してみて

kanda: 実際に発信してみてどうでした？

strinsert1Na: 「脅威インテリジェンス発信と言ってもTwitterに投稿するだけでしょ?」と軽く考えていましたが、使いやすいフォーマットやぱっと見でのわかりやすさ、140字でのまとめ方など創意工夫がかなり必要でした。 SHA256ハッシュを載せたいけど載せるとハッシュ値とC2の情報だけで140文字消化してしまうし、IoCとして有効かをきちんと判断できる証拠画像も欲しいし。結果として絵文字を使ってビジュアルに表現しながら文字をなるべく削り、IoCベースですぐに脅威インテリジェンスとして消費できる形にまとめました。自分の人生で最も1Tweetに時間がかかりましたが、納得のできる形になったのではないかと思っています。

🚨⚡ #LODEINFO (🇯🇵)

C2:
🌍 http[:]//172.104.72[.]4/ (ASN: AS63949, ISP: Linode, LLC 🇯🇵) and 2 more (172.105.223[.]216, 45.77.28[.]124).

Family:
🦠 LODEINFO (v0.6.2)

MD5:
🔒 da1c9006b493d7e95db4d354c5f0e99f

Sample:
📄 https://t.co/MvDcBjsfwV

H/T to NA4Sec Team pic.twitter.com/YUhX1WCrWH
— Metemcyber (@Metemcyber) 2022年8月5日

kanda: 情報発信後の反響や手応えは？

strinsert1Na: 発信した情報をプロに拾ってもらってより詳細なアーティファクト分析*6の提供につながった事例が早速ありました。まだ2Tweetしかしていませんが、再現性のある脅威インテリジェンスはきちんと世の中の役に立っているのだということが実感できました。

Nice share!
🦠 HUI Loader (d839ab2c2ea8f082f98478cb552d6709)
☠️Create a service name "WxUpdateServiceInfo" ->spawn thread for load system.ini-> decoding sc and inject decoded sc into svchost.exe (1/4) https://t.co/zs3buBPm3e pic.twitter.com/yrJx99ePpF
— m4n0w4r (@kienbigmummy) 2022年8月25日

今後の意気込み

kanda: 最後に今後の意気込みをぜひ。

strinsert1Na: これからも公開情報をもとに継続的に観測を続け、IoCを発信していくつもりです。 JPCERT/CCやベンダのレポートからハンティングに使うルールを日々アップデートしながら、今後も最新の情報を追えるように努力していきます。また、Twittterに載せる脅威インテリジェンスはなるべく自動収集できる形にできればいいなと考えていて、今後も決まったフォーマットで発信するつもりです。みなさんの意見を取り入れつつ、改善してより使いやすい形にしていきたいと思っているので、公式アカウント（@Metemcyber）や私のアカウント（@strinsert1Na）にReplyでフィードバックをいただけると助かります。

おわりに

本記事では、NA4SecチームとMetemcyberチームで連携した脅威インテリジェンス発信について紹介しました。今後も様々な脅威インテリジェンスを発信していく予定です。ご期待ください。また、発信内容やフォーマットについてのフィードバックも大歓迎です。ぜひ忌憚のないご意見をお聞かせください。（さらに公式アカウント@Metemcyberをフォローしていただけると関係メンバーみな泣いて喜びます）