脅威インテリジェンスとは?
脅威インテリジェンスとは、資産に対する既知および未知の脅威や危険に関するエビデンスに基づいた知識であり、この情報に基づいて、脅威や危険に対する攻撃対応の対応を決定することができます。
脅威インテリジェンスの概要
サイバー脅威インテリジェンスとは、情報セキュリティに的を絞ったインテリジェンスの一分野です。サイバー脅威から自社とビジネスを守る方法についての意思決定を改善する情報をまとめたものです。脅威インテリジェンスにより、次のような質問に答えることができます。
- どのような攻撃者からどのような攻撃を受けているのか?
- 自社のセキュリティは攻撃ベクターからどのような影響を受けているのか?
- セキュリティ運用チームはどのようなことに注意すべきか?
- 自社に対するサイバー攻撃のリスクを軽減するにはどうすればよいか?
『脅威インテリジェンスとは、資産に対する既知および未知の脅威や危険に関する根拠に基づいた知識で、コンテキスト、メカニズム、IOC、悪影響、実用的なアドバイスなどが含まれます。この情報に基づいて、脅威や危険に対する攻撃対応の対応を決定することができます。』
一般に、サイバー脅威インテリジェンスには戦略、運用、戦術という 3 つの「レベル」があります。
これらのインテリジェンスには異なる役割があるため、すべて収集することが重要です。アナリストは 3 種類のインテリジェンスを統合した知識を活用することで、使用すべきセキュリティソリューションやその活用方法、脅威に対して能動的および受動的に対応する方法をより適切に見極めることができます。
ここでは、APT29 と教育分野を例にとってこれら 3 種類のインテリジェンスの違いを解説します。
| タイプ | キャッチフレーズ | 有効性の半減期 (攻撃者、防御者の双方について) | 重点 | 基盤となる分析対象 | 出力データの種類 |
|---|---|---|---|---|---|
| 戦略 | 誰が? なぜ? | 長期(複数年) | 非技術面 | 大規模キャンペーン、グループ、複数の被害者がいる侵入(および運用面のインテリジェンス) | 長文の記述:被害者学、前年比の手法、および侵入・キャンペーンと競合・イベント・地政学的圧力との関連付け |
| 運用 | どのように? どこで? | 中期(1 年超) | 複合的(両方) | マルウェアファミリー全体、脅威グループ、人間の行動分析(および戦術的インテリジェンス) | 短文の記述や箇条書き:持続化や通信の手法、被害者、グループのプロファイル、ファミリーのプロファイル、TTP 記述、トリガー、パターン、手法のルール |
| 戦術 | 何を? | 短期(数ヵ月) | 技術面 | セキュリティイベント、個々のマルウェアのサンプル、フィッシングメール、攻撃者のインフラストラクチャ | IP、ドメイン、IOC、「シグネチャ」など、機械が判読できるごく小さな痕跡 |
Levels of threat intelligence
戦術的脅威インテリジェンス
戦術的脅威インテリジェンスは、最も基本的な脅威インテリジェンスです。 一般的な IOC(侵害の痕跡)が含まれます。戦術的インテリジェンスは、M2M(Machine-to-Machine)の脅威検知やインシデント対応で使用されることが多く、エンタープライズネットワーク内で特定のアーチファクトを探索するために用いられます。
戦術的脅威インテリジェンスの用途
戦術的脅威インテリジェンスと IOC は、サイバー攻撃を時系列準に記録することを目的としており、(コンプライアンス、法執行、調査、法務目的などのための)証拠を集積したコーパスとしても、アナリストが防御オペレーションに用いるコンテキストを抽出・解釈するための参照マテリアルとしても使用されます。
IOC は、マルウェアのサンプル、マルウェアファミリー、侵入キャンペーン、脅威アクターなど特定の脅威のサンプルとしてアナリストに提供されます。アナリストはセキュリティソリューションのアラートに戦術的インテリジェンスを加えてエンリッチメントを行うことでコンテキストを拡充し、危惧すべき脅威と無視しても安心な脅威を見極めることができます。
APT29 に関する戦術的脅威インテリジェンス
- 628d4f33bd604203d25dbc6a5bb35b90
- 2aabd78ef11926d7b562fd0d91e68ad3
- 3d3363598f87c78826c859077606e514
- meek-reflect.appspot.com
- portal.sbn.co.th
- 202.28.231.44
- hxxps://files.counseling[.]org/eFax/incoming/150721/5442.zip
- googleService.exe
- GoogleUpdate.exe
- acrotray.exe
- PCI\VEN_80EE&DEV_CAF
教育分野に関する戦術的脅威インテリジェンス
- d9b7b0eda8bd28e8934c5929834e5006
- support@securitygrade[.]org
- 46.244.4.37
運用的脅威インテリジェンス
運用的脅威インテリジェンスから、アクターのとる手法について知見を得ることができ、潜在的なリスクが明らかになります。 このインテリジェンスは、より有意義な検知、インシデント対応、ハンティングプログラムを可能にします。戦術的脅威インテリジェンスが既知の脅威に関するコンテキストをアナリストに提供するのに対し、運用的脅威インテリジェンスではより接近した調査からまったく新しい脅威を発見します。
このようなインテリジェンスは、フォレンジック調査やインシデント対応でよく用いられ、一般的に次のような項目が含まれます。
- 特定の脅威グループが用いるツール(ユーティリティ、バックドアファミリー、共通インフラストラクチャ)
- 特定の脅威グループが用いる戦術、技術、手順(TTP)(ステージングディレクトリ、ファイルの命名規則、ポート、プロトコル、よく使うファイル形式)
- 新しいTTP(新しい持続化手法、脆弱性攻撃、フィッシングスキーム)
インシデント対応の観点から考えてみましょう。あなたが今、侵入イベントに対応しているとしたら、特定の攻撃アクターがどのように権限昇格、ラテラルムーブメント、データ盗難を行っているのか知りたいと思うはずです。あるいは、未知の悪質なアクティビティをハンティングしているとしたら、特定のアクターの挙動を観察することからハンティングを始めたいと考えるはずです。いかなるシナリオでも、「自社環境内でこのアクターを探すにはどうすればよいか」という問いに答える必要があります。
運用的脅威インテリジェンスの用途
運用的脅威インテリジェンスとは、既知の攻撃の詳細を精査することで得られる知識です。アナリストは戦術的な IOC と結果を組み合わせることにより、アクターの手法について全体像をしっかりと把握して運用的なインテリジェンスを引き出すことができます。これにより、将来の攻撃とインシデントに備えてインシデント対応計画や対応技術を強化することなどにより、防御に関するさまざまな目標を達成できるようになります。
また、アナリストは能動的な検知プログラム(「ハンティングプログラム」)を導入・増強することにより、従来のセキュリティテクノロジーをバイパスした疑わしいファイルやアクティビティを特定できます。さらに、IOC に依存しない検知手法を確立し、脅威をより幅広くよりタイムリーにカバーすることも可能です。
運用的脅威インテリジェンスの例
APT29 に関する運用的脅威インテリジェンスの例
- よく使用される感染経路:自己解凍 RAR によるスピアフィッシング
- ファーストステージのマルウェアファミリー:COZYCAR、SWIFTKICK、TADPOLE
- セカンドステージのマルウェアファミリー:SEADADDY、MINIDIONIS、SPIKERUSH
- 持続化の手法
- ほとんどのバックドアにおいてタスクスケジュール
- 持続化の方法を持たないバックドア用に手動でインストールされた WMI
- 正当な Windows エラー報告ファイル(wermgr.exe)の置き換え
- TOR を使用した C2
- Google ドキュメントを使用した C2
- 転送に(プロキシとして)Google Cloud Apps を使用した C2
- ポート 443 の HTTP POST リクエストを使用した C2
- ポート 1、80、443、3389 に設定されたバックドアを使用した C2
- PowerShell スクリプトを使用
- py2exe を使用して C2 プロトコルと C2 インフラストラクチャを変化させたバックドアを改変し再コンパイル
教育分野に関する運用的脅威インテリジェンスの例
- 一般的な攻撃ベクターはスピアフィッシング、水飲み場型攻撃、SQL インジェクション
- 教室への最新技術の導入を担当する大学教授を標的とするスピアフィッシング
- リクルーターや採用プロセス関係者を標的とするスピアフィッシング
- 一般的な攻撃はスピアフィッシングと SQL インジェクション(SQLi)
- 一般的なマルウェアファミリー:PISCES、SOGU、LOGJAM、COBALT、COATHOOK、POISONIVY、NJRAT、NETWIRE
- 一般的なペネトレーションテストファミリー:Meterpreter、PowerShell Empire、Metasploit Framework
- Dropbox を使用した C2
- HTTPS とカスタムの TCP プロトコルを使用した C2
- C2 ドメインのトップレベルドメインに .ru、.su を使用
- メールアドレスに yandex.ru と bk.ru を使用
- 学生の氏名、管理者の資格情報、請求情報、社会保障番号など、個人を識別できる情報が格納されたデータベースの盗難
戦略的脅威インテリジェンス
戦略的脅威インテリジェンスは、脅威と攻撃の大局的な変化を時系列で示します。 戦略的脅威インテリジェンスにより、ヒストリカルトレンド、動機、攻撃の背後に潜む人間の属性を特定できます。攻撃者の人物像と動機を把握できれば、今後のオペレーションや戦術についても手掛かりを得られます。このようなことから、戦略的インテリジェンスは最も効果的な防御手段を決めるための確実な出発点となります。
戦略的脅威インテリジェンスには、次のようなトピック分野の情報が含まれます。
- 侵入や情報漏えいの属性
- アクターグループのトレンド
- 業種別および地域別の標的トレンド
- サイバー攻撃と地政学的衝突やイベントとの関連付け(南シナ海、アラブの春、ロシア・ウクライナ問題)
- 侵害、マルウェア、情報の盗難に関するグローバルな統計
- 主要な攻撃者 TTP の経時的な変化
戦略的脅威インテリジェンスの用途
戦略的脅威インテリジェンスでは大量の知識が基盤となります。これには、既知のサイバー攻撃からの運用的脅威インテリジェンスと戦術的脅威インテリジェンスを集積したデータに基づく専門家の意見や知見が含まれます。このようなインテリジェンスは、予算の根拠を提示することや情報に基づいて投資判断を適切に行うことが求められる CISO や経営幹部などのリーダー層にとって特に有益です。戦略的脅威インテリジェンスには、次のような用途があります。
- リスクの高い脅威アクター、関連性のあるリスクシナリオ、公衆向けのテクノロジー領域や地下の犯罪組織における脅威への露出に関する経営幹部への情報提供
- テクノロジーサプライチェーン全体の包括的なリスク分析とレビューの実施
- どの商業ベンチャー、ベンダー、パートナー企業、テクノロジー製品が自社のエンタープライズ環境に対するリスクを増大するか、軽減するかの把握
戦略的脅威インテリジェンスの例
APT29 に関する戦略的脅威インテリジェンス
- APT29 はロシアに拠点を置くアクターで、主にデータ盗難を目的とするサイバースパイ活動を行っています。
- 政府機関や、教育業界、ハイテク業界、金融業、非営利団体、医薬品業界、防衛産業基盤の世界的組織が数多く被害に遭っています。
- APT29 は適応性の高い洗練されたグループであり、カスタムの攻撃ツールや複雑なコマンドアンドコントロールインフラストラクチャを開発する能力があります。また、ロシア政府の支援を受けたアクターの従来の振る舞いと違い、このグループには検知された後も長期にわたって運用を続ける大胆さがあります。
- APT29 は、ロシア・ウクライナ紛争にかかわる外国政府の政策課題を中心にオペレーションを遂行してきた経緯があります。さらに、同グループは複数の欧米政府機関、防衛請負業者や政府請負業者、学術機関を標的としてきました。
教育分野に関する戦略的脅威インテリジェンスの例
- 教育分野の IT インフラストラクチャは利用者が多様で、無数のオペレーティングシステム、コンピュータタイプ、ソフトウェアに加え、インターネット経由でアクセス可能な大量のサーバーやウェブサイトから構成されるのが一般的です。このため大学や学術研究機関は、重要なデータを盗み出すため、そして今後の侵入オペレーションでホップポイントとするために、攻撃者の主要な標的となるのです。
- 教育業界は将来的にもサイバースパイ活動の被害を受ける可能性があります。中国、ロシア、イランなどの国々にいる脅威アクターが、データの盗難、情報の交換、経済的インテリジェンス、移民などの監視のためにスパイ活動を行う可能性があると推測されます。
- 複数のグループが大学や研究センターを含む学術機関を標的に侵入オペレーションを遂行したことが確認されています。
- APT10(別名「MenuPass Group」)
- APT22(別名「Barista Team」)
- APT29(別名「The Dukes」)
脅威インテリジェンスとビジネス目標
脅威インテリジェンスには、意思決定のための情報を提供し、アクションを喚起するという目的が必ず伴います。 しかし、多くのビジネスにとって、脅威インテリジェンスチーム、プロセス、ツールの価値を見極めるのは困難を極めます。脅威インテリジェンスで使われる用語はビジネスでは聞き慣れないものが多く、目的や価値について誤解が生じてしまうのです。
インテリジェンスプログラムをマクロレベルの一般的な優先事項と関連付けることで、インテリジェンスプログラムの価値を導き出すことができます(ここに挙げたものは一部です)。
- 収益向上
- 経費削減
- リスクの軽減と対策
- 顧客満足度と顧客定着率
- 従業員満足度と従業員定着率
- 規制コンプライアンス
脅威インテリジェンスチームはビジネス目標を理解してはじめて、ビジネスと足並みを揃えたオペレーションと作業内容によりビジネスをサポートできるようになります。ビジネス上の優先事項のすべてが脅威インテリジェンスの機能と完全に適合するとは限りません。しかし、要件を固めていく過程で細部を詰め、微調整していくことができます。脅威インテリジェンスチームは次のような目標から始めるとよいでしょう。
- 詐欺やサイバー犯罪に関連する経費の削減
- 詐欺対策チームと協力して、主な詐欺を 3~5 種類特定し、将来的にどのような情報があれば検知・防止に役立つかを尋ねます。
- データ損失の防止
- インシデントチケットの分析から、過去の情報漏えいイベントで標的にされたデータの性質とタイプについてどのようなことがわかるでしょうか。
- どのような脆弱性がどのような方法で悪用されたのでしょうか。
- PII 保護
- どのようなシステムに PII が保存されており、これらのシステムの脆弱性は既知のエクスプロイトベクターとどのように紐付けられているのでしょうか。
- ビジネスリスクの解消
- TI は、アクターを特定し、自業種を標的とする外部からの脅威に関するインテリジェンスを導出し、検知技術とメカニズムを適切に配置してこれらの脅威を捕捉できるようにすることで、データ損失や外部からの脅威に伴うリスクの軽減に集中できるようになります。
脅威インテリジェンスの進化
脅威インテリジェンスは今後も進化を続け、重要なセキュリティ機能となるでしょう。戦術的、運用的、戦略的な脅威インテリジェンスを統合することで、IOC や脅威アクターの手法に関して価値の高い知見を得られます。そこから、よりセキュアな環境を構築し、攻撃者を特定できるようになります。サイバー脅威インテリジェンスの利用を始めた公的組織と民間組織の数は増加しています。Ponemon Institute が最近実施した調査によると、組織の 80% がこうしたインテリジェンスをすでに利用しており、重要だと考える組織となるとさらに割合が高くなります。
サイバー脅威インテリジェンスを利用している組織は、さまざまなセキュリティ上の課題に対応しています。高度な脅威の検知と対応、情報漏えいの防止と機密情報の保護、サイバー犯罪の発生件数や詐欺関連コストの削減はもちろん、ビジネス全体でのリスク削減に成功していることが何よりも重要です。
このページの情報は、サイバー脅威インテリジェンスの概要とそれがもたらす価値について確かな理解につながりますが、これは入り口に過ぎません。Anomali はその他にもさまざまなリソースを用意しています。これを読めば、セキュリティスタックにサイバー脅威インテリジェンス機能を追加すべき理由や、負荷を最低限に抑えて連携させる方法について、よりスマートな決断を下せるようになるでしょう。
