サイバーセキュリティに関わる人は皆、脅威の情勢が常に進化していることを知っています。攻撃者はシステムやデータを悪用する新たな手法を常に模索しており、その一方で防御者は、攻撃者の先を行くべく様々な取り組みを重ねています。攻撃者との終わりのない攻防戦で優位に立つためには、セキュリティ担当者が常に最新の脅威情報を入手することが鍵となります。
そして組織をサイバー犯罪の脅威から防御するためには、最新の脅威インテリジェンスを活用することが重要となります。セキュリティチームが自組織の直面している脅威について理解を深め、適切な防御策を実行するためには、アンダーグラウンドのサイバー犯罪エコシステムについて実用的な知見を入手する必要があるのです。
脅威インテリジェンスは、組織が攻撃者の先を行き、リスクを緩和する上で非常に重要な役割を果たします。とはいえ、サイバー犯罪社会の仕組みは複雑であると同時に常に変化しているため、サイバー犯罪における最新の傾向を常に把握することは困難を極めます。本稿では、過去数年の間にサイバー犯罪脅威インテリジェンスがどのように進化してきたのか、そして今後どのように活用してゆけるのかについて解説します。また、セキュリティチームがサイバー犯罪脅威インテリジェンスを導入・使用する際に直面する重要な課題についても取りあげます。
●サイバー犯罪脅威インテリジェンスを取り囲む情勢の変化
過去 3 年間だけを振り返ってみても、サイバー犯罪は劇的に変化しています。その要因として、脅威アクターが脆弱性を悪用する新たな方法を常に模索していることや、サイバー犯罪者が組織化したり、他グループと協力体制をとっているということが挙げられます。そして違法行為を行う場と見なされているアンダーグラウンドのサイバー犯罪社会は、彼らにとって安全な避難場所であると同時に、ほぼ捕まることを恐れず活動できる場となっています。
しかし、サイバーセキュリティやリスク管理の担当者は、サイバー犯罪社会で繰り広げられる活動を監視・分析することで、脅威アクターの企みや活動について重要な知見を得ることができます。また得られた知見は、組織が適切なサイバー防御を実現し、侵害発生時の被害を低減する一助としても活用することができます。
●高度化するサイバー犯罪者
攻撃者にとっては、アンダーグラウンドのサイバー犯罪社会だけが唯一の避難場所というわけではありません。今や彼らは、インターネット上のあらゆる場所で悪事をはたらくことができます。ソーシャルメディアやモバイル機器の普及により、世界中でこれまで以上に多くの人々やモノがインターネットに接続できるようになっており、その結果、あらゆる場面で不正アクセスのリスクが高まっています。そしてサイバー犯罪者にとっても、新たな攻撃のチャンスが生まれているのです。
長い間、大衆文化の中でサイバー犯罪者は、「両親の家の地下室に引きこもって活動する一匹オオカミ」のように描かれてきました。インターネットが普及した当初は、そのような姿が事実であったかもしれません。しかし実際のサイバー犯罪者は、かなり前から高度に組織化された犯罪グループへと進化しています。
あらゆるモノや人々がインターネットでつながっていることに加え、サイバー犯罪者が高度に組織化していることで、CISO の業務はさらに困難になっています。だからこそセキュリティチームにとっては、インターネット上で何が起こっているのか、そしてそれが自組織にどのような影響をもたらすのかを教えてくれるソリューションが必要となるのです。
●組織化するサイバー犯罪者
今日、サイバー犯罪者は一般企業と同じように成長戦略に注力し、可能な作業については自動化も取り入れています。彼らの組織では「業務」が専門分野毎に細分化されており、サイバー犯罪の各分野における「専門家」が、それぞれ割り当てられた作業に従事しています。そんな彼らの目標は、自らの犯行を検知されることなく、可能な限り多くの金銭をできる限りスピーディに入手することにあります。
サイバー犯罪者は様々な点で一般企業のやり方を模倣していますが、その例として特定の分野に特化して活動していることが挙げられます。今やサイバー犯罪者は、ランサムウエアやマルウエア、データ窃取、ソーシャルメディア詐欺など、特定の分野に特化して活動するようになっています。その結果、各サイバー犯罪者がそれぞれの分野の「専門家」となり、自分達が狙いやすい組織や業界に的を絞って攻撃することで、より大きな利益を手に入れられるようになっています。
サイバー犯罪者は、一般企業で行われている業務やビジネスモデルも取り入れています。今や彼らは、マーケティングや営業、会計、顧客サービスなどの部門を作って組織を運営することで効率性と収益性を向上しており、その結果、法執行機関にとってはサイバー犯罪者の足取りを追うことがより困難になっています。
●サイバー犯罪脅威インテリジェンスに対するニーズの高まり
CISO が、組織化した現代のサイバー犯罪者から組織を守るためには、適切な防御を行う基盤となる重要かつ正確な情報、すなわちインテリジェンスを入手する必要があります。またセキュリティチームも、アンダーグラウンドに広がるサイバー犯罪社会の深部で起きている事象についての情報や、能動的な防御と是正策に役立つ実用的な知見をタイムリーに入手する必要があります。CISO やセキュリティチームが必要なインテリジェンスを速やかに入手することで、サイバー犯罪者が組織のアタックサーフェスに侵入する機会や新たな攻撃ベクトルを発見した時にも、事態をスピーディに把握することが可能となります。またその結果、攻撃が発生する前の段階で適切に対処することが可能となり、著しい信用失墜や莫大な金銭的損害が発生する事態を未然に阻止することができるのです。「CISOが脅威インテリジェンスに頼るのは、取締役会でサイバー脅威について年次のプレゼンテーションを行う時だけ」という時代は終わったのです。
●脅威インテリジェンスの未来:受け身でいるのではなく、先回りする
今後、セキュリティチームは脅威インテリジェンスに対する見方を変える必要があります。国家の諜報機関は、サイバー犯罪者の動向を常に把握するために、数千人もの調査員を配備して不正な活動を監視させ、報告させています。そしてあらゆる組織の CISO も、国家の諜報機関と同じように監視や情報収集を行う必要があります。国家機関のような予算がない場合は、メディアや調査レポートを通じて常に最新の脅威情報にアンテナを張ること、またそれに加え、必要な情報を提供してくれるサイバー犯罪脅威インテリジェンスソリューションを利用することが選択肢として挙げられます。
これからは、脅威インテリジェンスを新たな脅威の検知のみならず、攻撃者の活動についての知見を入手するツールとしても活用すべきです。脅威アクターがどのように脆弱性を悪用しているのかを理解することで、自組織のアタックサーフェスを正確に把握することが可能となります。またセキュリティチームにおいても、攻撃者の戦術や技術を理解することで、より適切にネットワークやシステムを保護できるようになります。
ただし、脅威インテリジェンスを新たな視点で活用するためには、新たなマインドセットが求められます。セキュリティチームは、新たな脅威を特定するだけのやり方から離れ、攻撃者の戦術と技術を理解することに注力する必要があります。攻撃者がどのように考え、次にどう動くのかを理解するのです。何かが起こってから反応するのではなく、先回りして考える――それが、攻撃者の一歩先を行く唯一の方法です。
近年、サイバー犯罪者や脅威アクターは著しい進化を遂げています。それに応じて、CISO やセキュリティチームが情報を収集・分析する方法や、その利用方法も変化させてゆく必要があります。
これまで多くのセキュリティチームは、新たな脅威を検知することと、検知した脅威への対応のみに重点を置いてきました。しかし、常に進化するサイバー犯罪者を理解するためには、最新の脅威の存在のみならず、どのような攻撃手法が使われているのか、そして次に誰が被害者(または被害組織)となりうるのかを考える必要があります。そうすることによって初めて、攻撃者のもたらす真のリスクと自組織のアタックサーフェスを理解することが可能となるのです。
KELA CEO デービッド・カーミエル
サイバーインテリジェンス業界で15年以上の経験を持ち、軍と民間の両方でKELAのCEOを務める。 インテリジェンスに関する広範な専門知識と戦略的ビジネスへの理解を兼ね備え、KELAのグローバル展開を推進し、会社の成長軌道を加速させている。 テルアビブ大学機械工学科卒業。
![[Security Days Fall 2016開催直前インタビュー] イスラエルのインテリジェンスの経験と技術を民生利用、ダークネットでやりとりされる顧客への脅威を検知(KELA) 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/21127.jpg)
