黒?白?それともグレー?

2018年10月15日

ファイル内に見つかる情報だけでは十分でない場合がある – ソフトウェア分類システムの開発やセキュアなゲートウェイの構築に従事する方、またインシデント対応を担当する方なら、そのことをよくご存じだと思います。ファイルから得られる情報以外に、ファイルのダウンロード元の公開URL、該当する製品やベンダーの情報、デジタル署名や証明書のデータ、または何らかの統計情報があると、役に立つことがあるものです。

このような、セキュリティ関連のソリューションやサービスを補完する情報は、どこから入手できるのでしょうか。ホワイトリストサービスが保持するのは、正規のソフトウェアに関する情報に限られます。ストリームベースの脅威フィードは、脅威を捕捉するには有効ですが、フォレンジックに足るだけの詳細情報はありません。そのためKaspersky Labは、良性のファイルか、悪性ファイルか、グレーゾーンにあるかにかかわらず、あらゆるファイルについて当社が保有するナレッジをご提供するサービスを立ち上げました。

この新サービス「Kaspersky Online File Reputation」では、Kaspersky Labのシステムが遭遇した全ファイルについての調査記録をご確認いただけます。本サービスの主な利点は以下のとおりです。

  • 現時点で50億超のファイルに関するデータを保有(問題がなく信頼できるファイルは約半数、明らかに悪性のファイルは10億超、それ以外はさまざまな理由から悪性である可能性のあるグレーゾーンのファイル)
  • ソフトウェアの追加インストールが不要(地政学的に複雑な事情を抱える一部の国では特に有益なポイントだと言えるでしょう)。ファイルごとのメタデータ(ハッシュ)を当社サーバーへ送信いただき、当該ファイルに関する情報を受け取っていただく仕組みです。または、定期的なアップデート情報を受け取るのみとすることも可能です。
  • 必要に応じて情報の詳細レベルを選択可能。
    例1)デフォルト許可モードまたはデフォルト拒否モードを実装した場合:判定結果のみを受信することが可能
    例2)ソフトウェア分類業務に携わる方の場合:該当のファイルが当社システムでどのように自動分類されたかについてのデータも追加で入手可能
    例3)セキュリティオペレーションセンターでサイバー脅威の分析を担当しており、ファイルの全解析情報を必要とする方の場合:ファイルが初めて認識された時期、当該国での検知頻度、使用されたコンテナなど、50を超える切り口の情報を入手可能

当社からご提供する情報の中には、通常ほぼ確認することのできないタイプのものもあります。たとえば、未知であるがデジタル署名済みのファイルに遭遇した場合を例に取りましょう。企業によっては、顧客ごとに固有の署名済みインストーラーを提供しています。GoogleやDropboxがそうですし、Microsoft WindowsもPCごとに固有のファイルを生成します。こうしたファイルに関しては、証明書のデジタルフィンガープリント(ファイルのハッシュと共にお送りいただきます)に基づいた情報をご提供可能です。本サービスでは証明書の所有者を突き止め、この証明書が盗まれたものや期限切れのものではないかを確認したのち、このファイルを信頼できるかどうかの判断をお返しします(初めて発見されたファイルの場合も同様)。

Kaspersky Online File Reputationの平均的な処理能力は1時間当たり20万リクエストですが、お客様のニーズに応じて調整可能です。本サービスの詳細については、こちらのページをご覧ください。