[新製品・サービス]

2024年4月4日(木)日川 佳三（IT Leaders編集部）

リスト

　カスペルスキーの「Kaspersky Threat Analysis」は、マルウェアの疑いがある不審なファイルを分析するサービスである。脅威インテリジェンスサービスのポータルサイト「Kaspersky Threat Intelligence Portal」から利用可能なサービスとして、法人を対象にパートナー経由で販売している。

　動的分析、静的分析、属性分析などからファイルがもたらす脅威を分析する。「マルウェアの全体像を把握して、攻撃が始まる前に情報に基づいて判断を下し、迅速かつ効果的に対応できるようにする」（同社）としている（図1）。

図1：「Kaspersky Threat Analysis」に含まれるツール「Cloud Sandbox」「Kaspersky Threat Attribution Engine」「類似サンプル検索」の全体像（出典：カスペルスキー）
拡大画像表示

　分析対象のファイルを、手動またはREST API経由でアップロードして分析する。分析機能（ツール）としてこれまで、動的解析のためのサンドボックス機能「Kaspersky Cloud Sandbox」と、マルウェアデータベースと照合した類似度に基づいて特定の犯罪者グループや攻撃活動との関連を表示する「Kaspersky Threat Attribution Engine」の2つを提供してきた。

　今回、3つ目のツール「類似サンプル検索（Similarity）」を追加した。ファイルの特徴がマルウェアの特徴に類似しているかをマシンラーニング（機械学習）で判別。既知のサイバー脅威情報から、不審ファイルと類似するマルウェアの情報を提供する。不審なファイルがマルウェアの場合は、亜種の有無や特徴を表示する（画面1）。

図2：「類似サンプル検索」機能によって発見された、類似性のあるマルウェアサンプルの例（出典：カスペルスキー）
拡大画像表示

　別サービスの「Threat Lookup」を利用している場合は、類似性があるマルウェアのダウンロード元とダウンロード先、潜伏先（ファイルパス）、ファイル実行時のアクセス先とダウンロードされるファイルなどの詳細情報も表示する。

　合わせて、「Kaspersky Threat Attribution Engine」の機能強化を図っている。同ツールは、分析対象の不審なファイルから抽出した16バイト長のバイナリ断片と、同社が持つマルウェアデータベースを、独自の類似コード技術を用いて比較し、特定の活動グループまたは攻撃活動との関連を表示する。今回、パスワードで保護されたアーカイブファイルの分析に対応した。パスワードを解除し、パスワード保護がない他のファイルと同様に分析する。

図3：「Kaspersky Threat Attribution Engine」によって、不審ファイルが脅威アクター「Platinum」に関連することが判明した例。アクター名をクリックすると、APT Intelligence Reportで提供する関連レポートを確認できる（出典：カスペルスキー）
拡大画像表示

　Kaspersky Threat Attribution Engineではまた、「APT Intelligence Reporting」との連携を強化した。分析結果の脅威アクター名をクリックすると、脅威アクターに関連するレポートの一部を抽出して表示する（画面2）。ペイロードをダウンロードさせるために使う手法やツール、検知を回避するための難読化の手法、ペイロード実行後に行われるバックドア設置など永続化の手法といった技術的な詳細が得られる。

　このほか、Kaspersky Threat Analysisのライセンス体系が日単位から年単位に変更された。これまでは1日の解析回数が上限に達しなくても翌日以降への繰り越しはできなかった。また、1日の上限に達した場合、解析を翌日まで実行できなかった。今回、解析回数の上限が1年単位となり、利用状況に柔軟に対応可能なライセンス体系となっている。価格（税別、年額）は、1年間の解析回数が1000回までの最小構成で117万1535円、同2500回で195万2558円、同5000回で331万9348円、同1万回で585万7674円。