ソフォス株式会社は6月30日、サイバー犯罪の首謀者特定にAIを活用するアプローチについての解説記事を発表した。
Sophos Counter Threat Unit(CTU)では、脅威情報を収集し、ダークウェブフォーラムと交流するダークウェブ研究者チームが存在するが、ダークウェブ上の投稿の精査は時間とリソースを要する作業で、見落としが発生する可能性もある。
Sophos AIの研究者 Francois Labreche は、AIとデータ分析を活用するために、Flareおよびモントリオール大学のEstelle Ruellan氏とMasarah Paquet-Clouston氏と共同で、ダークウェブ上の主要な攻撃者をより自動化された方法で特定するというアプローチを検討、その研究結果を2024 年の APWG Symposium on Electronic Crime Research で発表し、論文として公開している。
研究チームでは、犯罪学者であるMartin Bouchard氏とHolly Nguyen氏が開発した違法な大麻産業の分析でプロの犯罪者とアマチュアを区別するために考案されたフレームワークを修正し、ソーシャルネットワーク分析と組み合わせている。この手法を用いることで、フォーラムに投稿しているアカウントと、最近の共通脆弱性識別子(CVE)の悪用を関連付けることが可能となった。
同アプローチでは、脅威調査検索エンジンであるFlareを使用し、124件の異なるサイバー犯罪フォーラムから、2015年1月から2023年7月までの期間の4,441人による11,558件の投稿を収集している。収集した投稿では6,232件の異なるCVEが言及されており、研究者たちはこのデータを用いて、攻撃者の投稿内容に基づいて個々の攻撃者とCAPECを関連付けるバイモーダルなソーシャルネットワークを作成している。CAPECが割り当てられていないCVEや、多くの攻撃者が使用する一般的な攻撃手法などをデータセットから除外し、最終的に2,321人の攻撃者と263件のCAPECに絞り込んでいる。
研究チームではその後、コミュニティ検出アルゴリズムLeidenを使用し、特定の攻撃パターンに関心を持つコミュニティに攻撃者をクラスタリングしたところ、この段階で8つのコミュニティが比較的際立っており、個々の攻撃者は平均13種類の異なるCAPECに関連付けられ、1件のCAPECは平均118人の攻撃者と関係していた。
