ダークウェブ調査サービスは何ができる?有効な調査方法もご紹介

公開日:

更新日:

脅威インテリジェンス
   

Recorded Future」ライターチームです。

ダークウェブは一般的なブラウザでは閲覧できない匿名性の高いネットワークです。ダークウェブ上では匿名性の高さにより、違法な活動や悪意のあるユーザーが多く見られます。

そのため、ダークウェブへのアクセスには、デバイスのウイルス感染や個人情報の盗難、さらには意図せず違法なコンテンツにアクセスしてしまう、などのリスクが伴います。

通常、企業がダークウェブを調査する場合には、脅威インテリジェンスサービスやダークウェブモニタリングツールなどの専門的なサービスを利用します。

この記事では、ダークウェブの調査を提供するサービスの特徴や注意点などについて紹介しています。記事の後半では、ダークウェブの調査をより効果的に実施するための方法についても解説しています。

精度の高いダークウェブの調査をしたいとお考えの方はぜひ、参考にしてください。

目次

ダークウェブ調査するサービスとは

サイバー犯罪の温床となっているダークウェブには、情報が気づかないうちに流出している可能性があります。

ダークウェブへの情報流出は、フィッシング攻撃やマルウェア感染、内部の不正行為など、様々な要因によって引き起こされます。

ダークウェブへの情報流出は、漏えいした情報が悪用されることによるサイバー攻撃の被害や顧客からの信頼喪失といった二次被害のリスクにつながります。

ダークウェブに流出する情報の例

  • VPN装置などの自社機器のログインID・パスワード情報
  • 企業秘密、知的財産、顧客データなどの機密情報
  • 従業員のメールアカウント情報
  •  顧客のクレジットカード番号、有効期限、セキュリティコード

Recorded Futureのスクリーンショット:ダークウェブに流出したクレデンシャル情報を検知した様子

Recorded Futureのスクリーンショット:ダークウェブに流出したクレデンシャル情報を検知した画面


こうしたリスクから企業を守るためには、ダークウェブを調査し、自組織に関連する情報が流出していないかを監視することが必要です。

しかし、ダークウェブへのアクセスは専門的な知識が必要なだけでなく、多くのリスクが伴うため、一般的には、専門のサービスや専用のツールを用いて安全に調査を実施します。

ダークウェブ調査サービスは、企業に専門的な知識を持つ人材がいなくても利用できるため、利便性が高く、導入のハードルが低いことが特徴です。

代表的なサービス例を2つ紹介します。

ダークウェブモニタリングサービス

ダークウェブモニタリングは、企業の重要情報がダークウェブに漏えいしていないかを継続的に監視・調査し、報告するサービスです。

サービス提供者は、ダークウェブモニタリングツールと専門知識を活用して、定期的にダークウェブ上の情報を調査し、漏えいした情報を検出します。

検出した情報については、サービス利用者である企業に対してアラートを送信し、漏えいした情報の重要度や二次被害リスクなどの潜在的な影響に基づいてリスク値を評価し、企業に詳細なレポートを提供します。

マネージド型の脅威インテリジェンスサービス

マネージド型の脅威インテリジェンスサービスでは、サービス提供者がインターネット全体を対象にサイバー攻撃のリスクを包括的に分析し、企業に関する脅威情報と予防策をレポートにまとめて提供します。

このサービスでは、サーフェスウェブ(インターネット上で一般にアクセス可能なウェブサイト)からダークウェブに至るまで広範囲に調査を行い、攻撃者の手口や動機を理解するための相関分析を実施します。

これにより企業は、潜在的な脅威を迅速かつ正確に把握し、リスクを事前に特定することが可能となります。

ダークウェブモニタリングが主に情報漏えいの監視に特化しているのに対し、マネージド型の脅威インテリジェンスサービスは、より広範囲な脅威の分析と予防策の提案を行います。

ダークウェブ調査サービスを利用する際の注意点

ダークウェブを調査するサービスは、企業のセキュリティ強化において有効な選択肢ですが、これらのサービスを利用する際には次のような注意点を理解しておくことが不可欠です。

社内の人材が育成されない場合がある

ダークウェブ調査のサービスを利用することで、調査やリスク評価のプロセスに関する知識が社内に蓄積されず、ダークウェブ上の脅威に対抗するための知識や技術が、社内で育成されない可能性があります。

その結果として、サービス提供者への依存度が高まり、将来的には企業がダークウェブ上の脅威に対し、社内のリソースだけで適切に対処できない状況が続く恐れがあります。

タイムラグの発生

ダークウェブ調査のサービスを利用した場合、情報漏えいや脅威情報の検知速度は、サービス提供者の応答時間やプロセスに依存します。

そのため、サービス提供者からリアルタイムに情報が届かない場合、最新の脅威情報に基づいた迅速な意思決定が難しくなります。

脅威検出能力の限界

ダークウェブ調査の精度は、サービス提供者が使用するツールの性能に大きく依存します。

例えば、ダークウェブの調査に使用するツールが広範なユーザー向けに設計されていた場合、特定の企業環境や業界特有の脅威に対する検知能力が不十分で、迅速な対応が困難になる可能性があります。その場合、企業は重大なリスクにさらされることになります。

ダークウェブ調査を効果的に実施する方法

ダークウェブを調査する方法として、脅威インテリジェンスプラットフォームの導入も、選択肢の一つとして挙げられます。

脅威インテリジェンスプラットフォームは、ダークウェブを含む大規模なデータソースをリアルタイムで監視し、分析することができるツールです。このツールには、次のようなメリットがあります。

社内の知見蓄積による、人材育成・体制強化が実現可能

サイバーセキュリティソリューションを日常的に運用している部門がある場合には、脅威インテリジェンスプラットフォームの運用を自社の担当者にて行うことをおすすめします。

担当者が日常的に運用することで、ダークウェブの脅威やその対策についての理解を深め、専門知識を蓄積し、対処能力やリスク評価能力を継続的に高めることができます。

自社での運用に不安がある場合でも、操作のレクチャーを提供しているベンダーを選択することで、運用の知見を高めながら脅威インテリジェンスを効果的に活用していくことができ、恒常的なセキュリティ体制強化につながります。

リアルタイムでの検知と対応が可能

脅威インテリジェンスプラットフォームは、高度なアルゴリズムと機械学習技術を駆使して、膨大な量のデータをリアルタイムで分析できます。

そのため、脅威インテリジェンスプラットフォームを自社で運用することにより、情報漏えいや脅威情報の検知速度を大幅に向上させることができます。

特に、リアルタイム検知に優れた脅威インテリジェンスを導入することで、情報漏えいやサイバー攻撃の兆候を検知した瞬間にその情報をユーザーが受け取り、迅速に対応することができます。

検知能力を最適化しやすい

自社で脅威インテリジェンスを運用することで、企業特有の環境や業界固有の脅威に対する検出能力を最適化しやすくなります。

特に、カスタマイズ性に優れた脅威インテリジェンスプラットフォームを導入することで、自社のニーズに合わせて設定や機能を調整し、脅威検出精度の向上が可能です。

また、新たな脅威や攻撃手法が出現した際には、脅威インテリジェンスプラットフォームの機能や検出ルールを、自社やサプライチェーンの状況に応じて迅速に追加または変更することができます。

カスタマイズ性に優れた脅威インテリジェンスを導入することは、最新の脅威に対応できる体制の維持につながります。

カスタマイズ性に優れた脅威インテリジェンス

100万以上のソースから情報収集をするRecorded Futureは、カスタマイズ性に優れていることから、ユーザーに関連する脅威に対して高い検出精度を持ちます。

30カ国以上の政府機関でも利用実績のあるRecorded Futureには、以下のような特徴があります。

ニーズに合わせてモジュールの選択が可能

Recorded Futureは、特定の業界や企業のニーズに応じたモジュールを選択して利用することができます。

例えば、クレジットカード業界向けには、不正取引や詐欺行為の検知に特化したペイメントフロードモジュールを選択することで、より効果的な脅威検出と対策を実施できます。

自社のニーズに合わせたモジュールを利用することで、社内リソースの効率的な配分が可能になり、セキュリティチームは重要な脅威に集中して対応できるようになります。

脅威インテリジェンスを含むRecorded Futureが取り扱うモジュール

<Recorded Futureが提供する9種類のモジュールと代表的なユースケース>

①脅威インテリジェンス

Threat Intelligence

・ インテリジェンスの収集と生成を実施。

・ キーワードによる検索や特定の攻撃者・情報源を監視することが可能。

②脆弱性情報

Vulnerability Intelligence

・ 脆弱性の管理、優先度付けを実施。

・ システムの脆弱性情報、脆弱性のリスクスコアなどを把握することが可能。

③クレデンシャル情報(Identity Intelligence

・ サプライチェーン監視を実施。

・ 継続的に企業のリスクスコアなどを把握することが可能。

④地政学

Geopolitics Intelligence

・ ロケーションリスク管理を実施。

・ 海外拠点所在地のテロ、暴動や立法に関する情報を把握することが可能。

⑤セキュリティオペレーション

SecOps Intelligence

・ セキュリティオペレーションを効率化。

 SIEM/SOAR等のアラートトリアージやIoC調査が可能。

⑥ブランド保護

Brand Intelligence

・ 会社のブランドを保護。

・ フィッシングドメインや、自社に関連するID/パスワードの漏洩監視が可能。

⑦サードパーティ

3rd Party Intelligence

・ サードパーティ/サプライチェーン監視を実施。

・ 継続的に関連企業のリスクスコアなどを把握することが可能。

⑧アタックサーフェス

Attack Surface Intelligence

・ 外部に露出している脆弱性を可視化。

・ 把握していない資産の脆弱性の発見が可能。

⑨ペイメントフロード

Payment Fraud Intelligence

・ 漏洩したクレジットカード情報を監視。

・ クレジットカードの不正利用対策が可能。(決済事業者向け)

ユーザーに関連する脅威の高い検出精度

Recorded Futureは、特許取得済みの機械学習技術によって収集分析した結果を各企業のニーズに合わせて、業界特有の脅威や自社に関連した情報のみを表示することができます。

さらに各組織の状況に応じて脅威のリスクを評価できる機能を持ち、重要な脅威に対する迅速な対応をサポートします。

また、グループ会社やサプライチェーン全体の脅威を評価することで、各企業が直面するリスクを包括的に理解し、特定の脅威が他の関連会社に波及する前に対策を講じることが可能です。

キーワード単位での柔軟な検出設定

Recorded Futureは、特定のキーワードに基づいて脅威を検出する機能を持ちます。

ユーザーは、特定の業界や技術に関連するキーワードを検知対象として設定しておくことで、潜在的な脅威や攻撃の兆候をリアルタイムで監視できます。

収集された情報の分析は自動で行われ、重要な脅威が優先的に抽出されます。対応すべき脅威の優先順位が一目でわかるため、担当者は重要な情報を迅速に得ることができ、意思決定のスピードが向上します。

さらに、キーワード単位での検出設定は柔軟に調整できるため、企業は常に変化する脅威環境に対しても、必要な情報を迅速に取り入れることが可能です。

攻撃の予兆を即時検知し、意思決定をアシストするRecorded Future

このように、Recorded Future は組織のアタックサーフェスマネジメントやサプライチェーンマネジメント、脆弱性管理等の様々な用途に対応したモジュールや詳細な検知設定を通じて「セキュリティインテリジェンス」をユーザーに提供します。

「セキュリティインテリジェンス」とは、サイバー攻撃のみならず企業の運営を脅かすような脅威から保護し、意思決定の支援までも可能とする情報を指します。

セキュリティインテリジェンスの例として、

  • 新たに発見された脆弱性やその脆弱性が自社に与える影響、およびその対策
  • ブランドのレピュテーション低下を狙う攻撃に関する情報とその対策
  • 顧客のクレジットカード情報の漏えい、およびその情報が不正取引に使用される兆候とその対策
  • 特定の地域や業界におけるサイバー脅威の動向に関する情報とその対策

などが挙げられます。

企業ごとのニーズに応じたカスタマイズが可能なRecorded Futureは、企業に関連するセキュリティインテリジェンスを迅速に提供することで、脅威に対する即時対応を実現します。

関連記事の一覧