標的型攻撃に関する構造化データ: Dr.Web vxCube レポートがMITRE ATT&CK® マトリックスと統合

全てのニュース | Dr.Web製品 | アップデート

Doctor WebはDr.Web vxCubeのアップデートをリリースしました。今回の主な変更点は、Dr.Web vxCubeで生成されるレポートがMITRE ATT&CK® Enterprise Matrixにオーバーレイできるようになったことです。これにより、解析対象となる検体の悪意性をより正確に特定し、攻撃のタイムラインを再現することが可能となりました。MITRE ATT&CK® マトリックスは、サイバー攻撃者が情報システムに対して使用する**戦術(Tactics)および手法(Techniques)**を体系的に記述したナレッジベースです。情報セキュリティ専門家はこの情報を活用することで、インフラ防御の効率をさらに高めることができます。

 

新機能の概要

今回のアップデートにより、専門家は潜在的に悪意のあるオブジェクトのテクニカルレポートを閲覧できるほか、そのオブジェクトがどのように侵入し感染したのかという一連のイベントを明確に特定できるようになりました。この情報は、防御対策の強化やセキュリティポリシー改善点の把握に役立ちます。また、検出された手法や戦術をもとに、SOC(セキュリティ運用センター)やSIEMシステムの検知ルールをカスタマイズすることも可能です。

 

分析例:既知の暗号化ランサムウェアの解析結果

  1. 戦術: Initial Access(初期アクセス)
    手法: Replication Through Removable Media(リムーバブルメディアを介した複製)
    感染源は、攻撃者がマルウェアを配置したリムーバブルドライブでした。従業員が感染した個人用USBメモリを使用した可能性があります。

  2. 戦術: Execution(実行)
    手法: Windows Management Instrumentation (WMI)
    USBドライブが接続されると、自動実行メカニズム(例:autorun.inf経由)が作動します。ランサムウェアは正規の管理ツールであるWMIを悪用し、主要なワークロードを実行します。その結果、単純なアンチウイルスでは検出を回避できます。

  3. 戦術: Persistence & Privilege Escalation(永続化と権限昇格)
    手法: Boot or Logon Autostart Execution(Registry Run Keys / Startup Folder)
    再起動後も活動を継続するために、ランサムウェアはスタートアップフォルダに自身を登録します。レジストリエントリを作成またはスタートアップフォルダに自身をコピーし、ユーザー権限で自動的に実行されるようにします。

  4. 戦術: Defense Evasion(防御回避)
    手法: Indicator Removal: File Deletion(インジケーター削除:ファイル削除)
    システム侵入後、ランサムウェアは痕跡を隠蔽するため、フラッシュドライブや一時フォルダから元の実行ファイルを削除します。これにより、解析や検出を困難にします。

  5. 戦術: Lateral Movement(ネットワーク内の横移動)
    手法: Replication Through Removable Media
    マルウェアは他の端末にも感染を広げます。新たなUSBデバイスが接続されると感染させ、別のコンピュータに挿入された際に攻撃を繰り返します。この手法により、ネットワーク分離(air-gap)を越えて感染を拡大します。
  6. 戦術: Impact(影響)
    手法: Inhibit System Recovery / Data Encrypted for Impact
    Inhibit System Recovery: 標準のWindowsツールでの復元を妨げるため、Volume Shadow Copy Service(VSS)を破壊または暗号化します。 
    Data Encrypted for Impact: コンピュータ上の重要なファイル(ドキュメント、写真、データベースなど)を強力な暗号化アルゴリズムで暗号化し、復号キーの提供と引き換えに身代金を要求します。

 

専門家が講じるべき対策

  • 専門家が講じるべき対策
  • USBデバイス使用に関するポリシーの強化(オートランの禁止、暗号化された業務用フラッシュドライブのみ使用可)
  • Registry Run Keysの疑わしいエントリや、WMIによる悪意のあるスクリプト実行を検出するよう監視システムを構成する
  • 脅威拡散を防止する目的でネットワークのセグメンテーションを行う
  • 復元のためにデータの定期的かつ安全なバックアップを確保する

 

利用可能環境と提供形態

新バージョンは、クラウド版およびオンプレミス(on-premise)版の両方で利用可能です。
解析対象はWindowsおよびLinux環境で、現時点では英語のみで提供されています。
また、Android OS向け解析機能の追加も予定されています。

さらに、Dr.Web vxCubeマニュアルも一新されました。
新バージョンのリリースに伴い、クラウド版は**10月23日 13:00~14:00(モスクワ時間)**の間、一時的にご利用いただけませ。

ローカル版を更新する場合は、最新のDr.Web vxCubeディストリビューションと仮想マシンイメージをダウンロードし、マニュアルに従って再インストールしてください。ダウンロードはダウンロードウィザードから行えます。

 

Dr.Web vxCube について

Dr.Web vxCubeは、独立した仮想環境で不審なオブジェクトを解析するツールです。
セキュリティ侵害インジケーター(IoC)を特定し、標的型攻撃(APT)を含む高度な攻撃を阻止します。
クラウド版とオンプレミス版の2形態で提供されています。
クラウド版のトライアルは、専用ウェブフォームよりお申し込みください。
Dr.Web vxCubeは、Doctor Webの販売パートナーからもご購入いただけます。

 

著作権およびライセンス

今回のアップデートには、MITRE ATT&CK®ナレッジベースが含まれており、このナレッジベースの使用はThe MITRE Corporationよりライセンスされています。

© 2025 The MITRE Corporation.
This work is reproduced and distributed with the permission of The MITRE Corporation.
MITRE ATT&CK® の使用許諾は以下をご参照ください:
https://attack.mitre.org/resources/legal-and-branding/terms-of-use/

0
新着ニュース 全てのニュース