今回、CUREの新機能としてカスタム通知機能『Watcher』(ウォッチャ)を開発しました(図1参照)。WatcherにIPアドレスやドメイン名など自組織に関連した情報を通知対象として設定しておくと、それらの情報がCUREの中に現れた際に自組織宛てに即時通知が行われます。
Watcherの通知対象として設定できる情報は、IPアドレス(IP Addr)、ドメイン名(Domain)、ハッシュ値(Hash)、メールアドレス(Email)、キーワード(Tag)の5種類です(図2参照)。
例えば、Watcherに自組織が使用しているIPアドレスの範囲を設定しておくと、そのうちの1つがCUREの収集している悪性IPアドレスリストに載った際に、自組織に通知が行われます(図3参照)。これは、自組織のIPアドレスが何らかの原因でサイバー攻撃に加担させられた結果、悪性判定された可能性があり、そのIPアドレスについて自組織内で早急な調査が必要となります。
また、Watcherに自組織のドメイン名を設定しておくと、CUREの情報源の
AmpPotがそのドメイン宛ての
DRDoS攻撃を検知した際に、自組織(=被害組織)に通知が行われます(図4参照)。DRDoS攻撃のような大量通信による攻撃は被害組織単体では原因の切分けが難しいため、外部からの通知は攻撃の早期検知と対処方針の決定に役立ちます。
これ以外にも、ハッシュ値は自組織に届いたマルウェアがCUREの情報源のハニーポットで捕獲されているかどうかや、セキュリティベンダのレポートに掲載されていないかの確認などに使えます。メールアドレスは自組織で使用しているメールアドレスが、外部サービスからの漏えい情報に含まれていた際の検知などに役立ちます。タグは攻撃グループによるSNSでの自組織へのDDoS攻撃宣言の検知や、自組織の製品やサービスがセキュリティレポートで言及されていないかの確認などに使えます。
CURE Watcherによって、CUREに蓄積された膨大な情報の中から、自組織関連の攻撃情報などが通知可能となり、CUREを活用した自組織のセキュリティ向上が期待できます。
CURE Watcherについて、2024年6月12日(水)〜14日(金)に幕張メッセで開催される「Interop Tokyo 2024」で動態展示を行います。
