アンダーグラウンドのサイバー犯罪社会では常に新たな脅威が台頭し、その攻撃も巧妙さを増しています。サイバー犯罪が進化を続ける状況を背景に、多発する誤検知や延々と続く手作業が、すべての防御者にとって悩みの種となっています。セキュリティチームは脅威に優先順位を付け、リスク緩和に向けた措置を講じるために、自組織と関連のある脅威のみに的を絞ってその背景も含めたインテリジェンスを自動提供してくれるソリューションを必要としています。
しかし残念なことに、一部の防御者はアンダーグラウンドのサイバー犯罪や、サイバー犯罪脅威インテリジェンスについて誤解しており、脅威情報をベースにしたセキュリティプログラムの構築に役立つツールを活用できていないのが現状です。
今こそ、アンダーグラウンドのサイバー犯罪とサイバー犯罪脅威インテリジェンスについて、よくある誤解を払拭すべき時です。一般的に、国民国家レベルのサイバー犯罪や APT(高度で持続的な攻撃)を含め、攻撃の多くは明確な意図や目的のもとに行われていると考えられていますが、現実はその反対であり、むしろ簡単に金銭を手に入れる術を模索している犯罪者によって、場当たり的に行われています。
●サイバー犯罪脅威インテリジェンス4大誤解
よくある誤解その 1:アンダーグラウンドのサイバー犯罪社会は規模が非常に大きく複雑なため、その仕組みを理解したり、有用な情報を特定して収集することは不可能である
一部のセキュリティベンダーが、自社のセキュリティソリューションを売りつけたいがために偽情報を流し、その結果としてアンダーグラウンドのサイバー犯罪社会が神秘的で不可知の領域のように思われていることがあります。しかし実際には、神秘的でも不可知でもありません。
アンダーグラウンドのサイバー犯罪社会は、一般のマーケットプレイスとほぼ同じ形で運営されており、購入者や販売者、情報交換の場で成り立っています。サイバー犯罪社会では、販売者は商品やサービスを提供し、購入者は各アイテムをチェックして入手したいものがあればデジタル通貨で決済して購入します。またフォーラムやチャットルームもあり、そこではユーザーが様々なトピックについて議論しています。
アンダーグラウンドのサイバー犯罪社会の魅力として、一定レベルの匿名性を確保できることが挙げられます。ユーザーは、自身の身元を明かすことなく商品を売買することができ、秘密裏に違法行為を行おうとする人々や、厳格な検閲法が敷かれた国の人々にとってはこの匿名性が役立っています。
ただし、アンダーグラウンドのサイバー犯罪社会にはリスクも存在します。匿名で活動して違法行為を行う犯罪者の温床になっているということは、大きなリスクも存在するのです。そのため、インターネットでサイバー犯罪社会にアクセスする際には、自らを守るための措置を講じておくことが不可欠となります。
よくある誤解その 2:アンダーグラウンドのサイバー犯罪社会は投稿の数やノイズが多すぎて、その中から重大な脅威を識別することはできない
確かにアンダーグラウンドのサイバー犯罪社会は騒がしく、時に危険な場所でもあります。しかし、正しい知識と高度なツールがあれば、セキュリティ業務担当者の皆さんも、産業や国家、企業、個人、システム、ソフトウエア、インフラストラクチャに対する脅威を識別することができます。
アンダーグラウンドのサイバー犯罪社会では、暗号化されたプラットフォームを使って匿名性を確保しながら通信したり、情報交換することができるため、脅威の追跡・監視が困難な場合もあります。それでも、脅威インテリジェンスプラットフォームなどの高度なツールを使用することで、セキュリティ業務担当者の皆さんも潜在的な「敵」を特定し、監視することが可能となります。アンダーグラウンドのサイバー犯罪社会の仕組みを理解し、適切なツールを使用することで、組織や国家は、サイバー犯罪社会に端を発する攻撃から自らを守ることができるのです。
よくある誤解その 3:アンダーグラウンドのサイバー犯罪社会を利用する脅威アクターは、スキルが低い
大衆文化の中では、アンダーグラウンドのサイバー犯罪社会を利用する脅威アクターは、両親の家の地下室に引きこもった一匹狼のようにとらえられることが多々あります。また初歩的なスキルやツールしか持っておらず、高度なスキルもなければ社会環境にも適用できない人物として描写されることもよくありますが、その描写が常に真実であるとは限りません。
アンダーグラウンドのサイバー犯罪社会では、様々な背景を持つ脅威アクターが標的の情報を収集し、攻撃に必要なツールを購入しています。その中には、もちろん限られたスキルしか持たない未熟なアクターもいますが、国民国家レベルの熟練したアクターも様々な商品やサービスを売買し、学びを得る場としてアンダーグラウンドのサイバー犯罪社会を利用しています。決して攻撃者を過小評価してはいけません。皆さんが自分の目標に真剣に取り組んでいるのと同様に、彼らも彼らの「目標」に真剣に取り組んでいるということを、常に念頭に置いておく必要があります。
アンダーグラウンドのサイバー犯罪社会は、匿名で情報を収集したり、自らにたどり着く痕跡を残すことなく攻撃を企てられる方法を脅威アクターに提供しています。彼らは、利用できるツールや悪用可能な脆弱性、さらには検知を回避する方法をサイバー犯罪社会で発見し、学んでいるのです。
よくある誤解その 4:アンダーグラウンドのサイバー犯罪社会で起こっていることを理解するのは、検索エンジンに自社の名前を入力するのと同じぐらい簡単
「よくある誤解その 3」で説明したとおり、アンダーグラウンドのサイバー犯罪社会を利用する脅威アクターのスキルを、人々が過小評価していることがよくあります。しかしその一方で、「検索エンジンを使えば、自社が脅威に直面しているか否かを知ることができる」と誤解している人もいます。もちろん、アンダーグラウンドのサイバー犯罪社会で実用的なサイバー脅威インテリジェンスを検知して収集することは可能です。しかしそれには、ある程度の知識を持っていることと、適切なツールを使用することが前提となります。
高度な脅威インテリジェンステクノロジーは、様々な手法を駆使してサイバー犯罪社会の脅威アクターを監視し、攻撃の可能性を検知しています。その主な機能として、オープンソースの情報(フォーラムやウェブサイトなど)に加え、アンダーグラウンドのサイバー犯罪社会で秘密裏に運営されているサイトや非公開のフォーラムなど、多数のソースからデータを収集し、分析することが挙げられます。収集後に分析されたデータは、既知の脅威アクターや、容疑の対象となった脅威アクターのプロファイルを作成するために使用されます。このようにして作成された脅威アクターのプロファイルは、組織の皆さんが直面している脅威とその行動パターンについて理解を深め、自組織を保護するための戦略を策定する上で役立つ情報となります。
●サイバー犯罪脅威インテリジェンスの活用を成功させるには
組織がサイバー犯罪脅威インテリジェンスを利用しない場合は、新たに台頭した脅威が成長していることに気付くこともなければ、知ることもできず、常に進化する脅威の情勢に対して不利な立場にならざるを得ません。しかし、サイバー犯罪脅威インテリジェンスを利用すれば、自組織とデータを保護する最善の方法を、十分な情報に基づいて決定することができるのです。
また、サイバー犯罪社会の情報収集を効果的に行うには、技術的要素と人的要素の両方を取り入れることが必須となります。サイバー犯罪脅威インテリジェンスとは単なる技術的なデータではなく、そこには攻撃を背後から操っている組織やアクターなどの情報も含まれているということを念頭に置いておきましょう。
自組織の力だけでアンダーグラウンドのサイバー犯罪社会に潜入し、理解を深めることが困難な場合もあるでしょう。そこで、サイバー犯罪社会で行われている活動を理解するのに役立つ、適切なツールを見つけることが重要となります。豊富な実績を持つテクノロジー企業であれば、サイバー犯罪のエコシステムを十分に熟知しており、暗闇に隠れた標的型脅威を特定できるよう、皆さんをサポートすることができるでしょう。
最後に、入手したサイバー脅威インテリジェンスは、必ず組織内の他メンバーと共有してください。共有することで組織のメンバーが脅威を認識し、防御に向けた対策を取ることが可能となります。サイバー脅威インテリジェンスは実用的であってこそ役に立つのであり、脅威や収集されたインテリジェンスについて知る人が増えるほど、脅威に対する防御力が高まります。
KELA CEO デービッド・カーミエル
サイバーインテリジェンス業界で15年以上の経験を持ち、軍と民間の両方でKELAのCEOを務める。 インテリジェンスに関する広範な専門知識と戦略的ビジネスへの理解を兼ね備え、KELAのグローバル展開を推進し、会社の成長軌道を加速させている。 テルアビブ大学機械工学科卒業。
![[Security Days Fall 2016開催直前インタビュー] イスラエルのインテリジェンスの経験と技術を民生利用、ダークネットでやりとりされる顧客への脅威を検知(KELA) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/21127.jpg)
