インターネットイニシアティブ(IIJ)は9月11日、エンジニア向けの勉強会イベント「IIJ Technical NIGHT vol.9」を開催した。9回目となる今回は、IIJが誇るセキュリティーオペレーションセンターのアナリストたちが、実際にインシデントを発見・分析するためにどのような取り組みをしているかの紹介がされた。
エンジニア向けの勉強会として、いつもディープな内容が語られるTechnical NIGHTだが、今回は昨今の新型コロナウイルス流行もあって、初のオンライン開催となった。今回は3人の講演者がそれぞれ録画で講演を行い、後半に生中継で質疑応答を兼ねた座談会という流れになった。
司会はいつもの堂前清隆氏…と思いきや、なんとVtuberノリのバーチャル美少女姿で登場。これには視聴者も大ウケだったようだ。
さて、IIJの社内には、セキュリティ本部 セキュリティビジネス推進部の下に「セキュリティオペレーションセンター」(SOC)と呼ばれる部署があり、24時間・365日体制でアナリストが駐在し、IIJが提供しているネットワークサービスに対する攻撃やマルウェアなどの監視と分析を行っている。今回はこのSOCに勤務するアナリスト3人が登場して、実際にどのようにインシデントを見つけ、解析するのか、またどんなツールを使っているかを解説してくれた。
一番手に登場したSOCの古川智也氏は、「あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて ~」と題して、マルウェア「Emotet」を例に、実際の発見手順を紹介してくれた。
マルウェアを検出するにあたり、基本的には各サービスやそこで使用されている機器のログを調べていく。どんなマルウェアでも、マルウェアが指令を受けるためのC2サーバ(指令サーバ)のドメインだったり、マルウェア自身のハッシュ値などの痕跡(IoC)を残す。こうした痕跡を探していくのがリアルタイムでの分析だが、マルウェアは改変も頻繁に行われるので、残す痕跡も変わりやすい。だが必ず複数の痕跡を残すし、改変されても一部はそのまま残されることも多いため、そういった痕跡を見逃さないこと、またあらかじめ複数の分析ルールを作成しておき、検知漏れを防ぐのが重要だという。ここで実際にマルウェア「Emotet」を検出する際に、どのような偽装をしているかや、その見分けかたなどが紹介された。
また外部の脅威情報を収集し、最新のIoC情報にアップデートするのが重要だが、これについては脅威情報サイトのほか、Twitterでの脅威報告が最も速いという。1日のうち、大半をこうしたIoC情報の収集に費やすこともあるそうだ。