【CSIJコラム15(2023,12,25)】
「脅威情報をより有効に使う どこまで活用出来ていますか?」
株式会社インテリジェント ウェイブ
栗山 智
最近、ニュースでセキュリティに関する話題が頻繁に取り上げられ、一般の方々の間でも認知度が高まっています。インシデント関連の事案やハッキンググループの活動についても、定期的に報道されています。
警視庁からは「中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について(※)」という注意喚起が発信され、ハッキンググループについてもメディアで広く取り上げられています。これらの報道から、攻撃者はソフトウェアの脆弱性、不十分なネットワーク設定、サポートが終了した機器やソフトウェアなどを狙っていることが明らかになっています。
※ 警察庁ウェブサイト
https://www.npa.go.jp/bureau/cyber/koho/caution/caution20230927.html
さらに、攻撃者は情報源としてダークウェブを利用しており、これが攻撃の多様化につながっております。
ダークウェブは、高い匿名性と秘匿性を保持し、特別なツールを使用してアクセスするため、その内容を外部から閲覧することや通信者を特定することは困難です。その秘匿性を利用してRaaS(Ransomware as a Service)などの攻撃サービスが提供され、より効率的な攻撃が可能になっています。
<RaaSの概要>
-
ランサムウェアに特化したサービス
-
サービス利用料を支払い、簡単にランサムウェアを使用したサイバー攻撃が実行可能
また、MaaS (Malware as a Service)やPhaaS (Phishing as a Service)といった攻撃手法のサービス化も進んでおり、攻撃者が目的を達成するためのツールが広く流通しています。攻撃者にとって有利な状況は、依然として変わらないと言えます。
ダークウェブは、アンダーグラウンドへの重要情報流出やハッキンググループによる被害が出ているため、「危険」というイメージがついています。しかし、同時に、アンダーグラウンドの情報や攻撃者側の情報を早く知ることができる情報源でもあります。事前に攻撃者側の情報を入手し、自社のセキュリティ対策に組み込むことで、リスクを軽減することが可能となります。
最近ではサイバー攻撃を受けてから対応するという考え方から、未然に防ぐことを重視する傾向が見られます。そのための情報源として、ダークウェブが注目されており、その検索が可能なツールがいくつか提供されています。
その中でも、弊社が取り扱う「Recorded Future」という脅威インテリジェンス製品をご紹介します。
このツールでは、以下のような情報を検索することが出来ます。
<検索可能な情報の例>
-
自社アカウント情報の漏洩有無
-
自社に類似したドメインの作成・特定の国で発生しているインシデント情報
-
流行しているマルウェア情報
これらの情報を活用することで、自社の防御を強化し今後の攻撃に備えることが可能になります。
これらは一例ですが、他にも不審な実行ファイルやサイトの解析結果を表示するなど、様々な情報を取得し活用することができます。詳細は、下記のサイトからお問い合わせいただければ幸いです。
製品情報:https://www.iwi.co.jp/products/security/recorded-future.html