NICT Darknetデータを活用した国産脅威インテリジェンスの新機能

NICT Darknetデータ解析による新たな脅威インテリジェンス

株式会社レインフォレストが、国立研究開発法人情報通信研究機構（NICT）のDarknetデータを解析し、新しい脅威インテリジェンス機能を発表しました。この機能は、特にセキュリティオペレーショナルセンター（SOC）やコンピュータセキュリティインシデントレスポンスチーム（CSIRT）において役立つ情報を提供することを目的としています。

1. 提供される情報の概要

新機能では、未使用のIPアドレス空間でのアクセス傾向を分析し、以下のような情報がAPIを通じて取得できます。

- 探索活動の特徴: インターネット上での探索活動が持つ特性を把握できます。
- 高速スキャナの可能性: マルウェアやスキャンツールの使用に関する情報を分析します。
- DoS攻撃の兆候: TCPおよびUDPの跳ね返り観測データから、DoS攻撃の予兆を見つけ出すことが可能です。

2. 技術的背景

この新機能は、自社開発のハニーポットから得られた観測データと、NICTの大規模なDarknet観測データを組み合わせることで実現されました。これにより、インターネット上で無差別に行われる探索や攻撃のパターンを、現実の観測データに基づき明確に示すことができます。

一般的な公開情報収集（OSINT）とは異なり、リアルタイムの観測データに基づくため、高度な脅威インテリジェンスを提供することができます。こうした情報を元に、国内外の攻撃傾向について正確なインサイトを得ることが可能です。

3. 利用ケース

今回の機能は、さまざまな場面での活用が期待されています。

- 攻撃前兆の監視: 防御施策を効率的に優先順位付けするために、SOCやCSIRTで活用できます。
- 攻撃ツールの流行把握: 新しい攻撃手法の流行を見極め、それを脆弱性診断や演習計画に生かすことができます。
- ISPやデータセンターでの異常検知: トラフィックの異常をより強力に検出するために役立ちます。

4. デモと将来展望

本機能は、同社の攻撃面可視化サービス「kr:ns/senda」との連携も視野に入れています。近い将来、観測データを元にした脅威インサイトを提供するシステムが構築され、中期的にはDarknet解析結果をAI分析エンジンと統合し、さらに高度な分析が行えるようになります。最終的には、sendaシリーズ全体を取りまとめた完全自動化型のインテリジェンスプラットフォームの実現を目指しています。

5. 会社情報

株式会社レインフォレストは、日本を拠点とするサイバーセキュリティ製品の開発を行う企業です。国産のASM「senda」シリーズを中心に、セキュリティエンジンの構築に取り組んでいます。詳しい情報については、公式サイトをご利用ください。

また、本件に関する問い合わせについては、[email protected]までお気軽にご連絡ください。