Threat Landscaper

Threat Landscaperとは

Threat Landscaperは、Virus Totalと連携して機能する脅威分析ソリューションです。 Threat Landscaperを活用することで、日本で流行しているマルウェア、よく利用される脆弱性、TTPsの把握や、国家に帰属するアクターやランサムウェアグループに代表されるサイバー犯罪グループなど、様々な脅威アクターのアクティビティを継続的に追跡することが可能となり、防衛組織や法執行機関のリサーチチームや民間組織における脅威分析のパフォーマンスを向上させます。

Threat Landscaperの機能

Threat Landscaperは「JP Tracker」と「Actor Tracker」の2つの機能から構成されています。

JP Tracker

VirusTotalに日本から投稿されたファイルの統計データを分析することで、ファイル形式の内訳や流行りのファミリ、よく使われる脆弱性、TTPs などを可視化し、現状の日本を取り巻く脅威動向を把握することを可能にする機能です。

JP TrackerではVirusTotalに投稿されたファイルを元に、以下のような指標を観測することができます。

• 投稿されたファイルの形式の統計データ
• 検知カテゴリ、検知名の統計データ
• Sigma、Yara, IDSの検知情報の統計データ
• 脆弱性の統計データ

想定されるユースケース

日本から投稿されるファイルの日々の傾向から、特定のファイル形式のファイルが大量に投稿されるなど、異常値を発見できます。

この例では、2023/05/30 と06/12前後にHTML形式のファイルが大量に投稿されていることがわかります。

JP Trackerでは、VirusTotal上でのファイルの検知カテゴリ、検知名も確認できます。そのデータを見ると、図のようにフィッシングに関連する検知が大部分を占めていることを確認できることから、日本を対象としたフィッシング攻撃が活発になっていたことを推測できます。

Actor Tracker

Actor Trackerは中北露のAPTグループや世界中のランサムウェアグループなどを対象に、指定したアクターの動向を追跡し、継続的な分析を可能にする機能です。

Actor Trackerでは、VirusTotalに投稿されたファイルを元に、以下のような指標を観測することができます。

• 脅威アクター毎のアクティビティ
• 脅威アクターが利用するマルウェアの動向
• 脅威アクターによる攻撃の対象国

想定されるユースケース

VirusTotalに世界中から投稿されるランサムウェアファミリの統計情報から、もっとも活発に活動しているグループを把握できます。2023年6月下旬頃からの1ヶ月では、LockBit、Hive、REvilが活発だったことがわかります。

またファイルの投稿元の国から、そのグループが攻撃をおこなった国、地域のデータとして参考にできます。

Threat Landscaperの想定ユーザー

• SOC（Security Operation Center）
• CSIRT（Computer Security Incident Response Team）
• 組織のセキュリティチーム
• 警察・防衛・インテリジェンスコミュニティ
• サイバー脅威動向を把握し、定期的な報告や情報展開を行う役割がある組織

導入のための前提条件

THREAT LANDSCAPERのご利用には、別途「VirusTotal」のライセンスが必要です。ライセンスをお持ちでない場合は「VirusTotal」の導入からサポートいたしますのでお気軽にお問い合わせください。

VirusTotalほか「脅威インテリジェンス」サービス一覧ページ

導入までの流れ

お申込み後「VirusTotal」のAPIキーを共有いただき、Threat Landscaper内へのデータ取得を開始します。※VirusTotalの仕様上「JP Tracker」は利用開始より90日以前のデータ、「Actor Tracker」は契約開始日以降のデータが利用可能になります。 また、「JP Tracker」と「Actor Tracker」をそれぞれ別で購入いただくことも可能です。お気軽にお問い合わせください。

価格

下記お問い合わせフォームよりお気軽にお問い合わせください。