脅威インテリジェンスは、ISO27002の改訂によりセキュリティ管理策に追加されるなど注目度が上がっていますが、その活用シーンは多岐に亘るため具体的な利用イメージがつきにくいのではないでしょうか。本記事では、脅威インテリジェンスを上回る「セキュリティインテリジェンス」Recorded Futureのユースケースを紹介するとともに、その中でも特定のユースケースに特化した脅威情報レポートサービス「ISIA」(アイシア)をご紹介します。
脅威インテリジェンスを上回る「セキュリティインテリジェンス」-Recorded Futureとは
陸、海、空、宇宙に続き「第5の戦場」といわれるサイバー空間。
マルウェアやランサムウェアを駆使するハッカー集団は、通常インターネットを介して企業や組織の利用するシステムや保有する施設や設備に対しサイバー攻撃を行います。そうした攻撃により金銭的あるいは政治的な利益を得ていますが、それを支えているのが情報戦です。
インターネット上には役に立つ様々な情報が存在しますが、表層(オープンウェブ、サーフェイスウェブ)から深く潜った先にあるダークウェブやディープウェブにはサイバー攻撃に悪用可能な情報が大量に存在しており、攻撃者達はこれらの情報を一般人が立ち入ることのできない闇市場で取引しています。
防御する企業や組織側から見れば、ダークウェブ上に漏洩した機密データは脅威情報として自身の経営活動にリスクを与える要素となります。その反面、これらの情報を正しく把握して活用すれば攻撃の予兆として捉え、未然に予防や対策をとることも可能です。
しかし、これらの情報はダークウェブを中心に夥しい数で点在しています。
しかも英語、中国語、ロシア語、アラビア語など多様な言語で記されており、古い情報もあれば新しい情報もあり、その全てを人の眼で精査することはほぼ不可能です。
ひとつひとつでは背景や文脈(コンテキスト)が読み取れないようなデータ(資料)をインフォメーション(情報)として整理し、インテリジェンス(知恵)へと昇華させたものこそが「脅威インテリジェンス」と呼ばれるものです。
この脅威インテリジェンスを活用することにより、これまでサイバー攻撃に対して後手の対処に回らざるを得なかった状況が一転し、プロアクティブに予防し被害を回避あるいは軽減することが可能になります。
この脅威インテリジェンスを上回る「セキュリティインテリジェンス」として提供するのがRecorded Future」(レコーデッド・フューチャー)です。
Recorded Futureは、オープンウェブからダークウェブに至るまで100万以上のソースから収集し10年以上蓄積しています。加えて特許取得済みの機械学習と13言語に対応した自然言語処理により、自動的に解析し、リアルタイムで提供しています。
これらの情報は、サイバー攻撃のみならず自組織の運営を脅かすような脅威から保護し、意思決定の支援を可能とするレベルにまで昇華された「セキュリティインテリジェンス」と呼ばれています。
「セキュリティインテリジェンス」の例として、
・ブランドに対するレピュテーション低下を狙うような攻撃に関する情報
・世界情勢が組織運営に与える影響に関する情報
などが挙げられます。
このように経営に関する様々な観点において分析された組織の意思決定を支援する多様な情報を、Recorded Futureは脅威インテリジェンスを含む9種類のモジュール群で提供しています。
<Recorded Futureが提供する9種類のモジュールと代表的なユースケース>
このように、セキュリティインテリジェンスを活用することで自組織の経営に関わる脅威リスクを測り未然に対策および回避ができるようになるだけでなく、SOCやCSIRTにおけるセキュリティ業務の負荷軽減に繋げることも可能となります。
Recorded Futureを用いたMSSP型 脅威情報レポートサービス「ISIA」をIWIから提供
前述のようにセキュリティインテリジェンス「Recorded Future」を使いこなすことによって脅威リスクの低減に役立てることができますが、サイバー攻撃件数が増加傾向にある反面でセキュリティ人材不足が昨今叫ばれています。
そうした中、人的リソースや時間的な制約、作業の重要度や優先度によっては、必ずしも自社のセキュリティチームだけで全てのインシデントやアラートに対応しきれるとは限りません。
そこで、当社では2つのユースケースに焦点を当てて、Recorded Futureを用いたMSSP型 脅威レポートサービス「ISIA」(アイシア、IWI Security Intelligence Alertの略)を提供しています。
① クレデンシャル情報漏洩検知レポート
IDとパスワードに代表されるクレデンシャル(資格)情報は、システム上でユーザーを識別するための重要な要素のひとつです。
クレデンシャル情報が漏洩すると自社のネットワークや利用しているクラウドサービスへの侵入を許してしまい、機密情報の漏洩やシステムへの攻撃を引き起こす要因となってしまいます。
ISIAでは、当社がRecorded Futureを用いてお客様のクレデンシャル情報がダークウェブを含むインターネット上に漏洩していないかを検索し、その結果を月次レポートとしてご提出します。
もし漏洩していた場合には、該当するIDを削除したり、パスワードを変更するなどの対処につなげることができます。また、「漏洩していないこと」を確かめることで、安全な状態が維持できていることを確認できます。
② フィッシングドメイン検知レポート
2022年3月以降、フィッシング詐欺の報告件数は加速度的に増加しています。[1]
フィッシング詐欺では、まずサイバー攻撃者が有名ブランドの偽サイトを構築してメールやSMSなどを用いて利用者を偽サイトへ誘導します。
そしてIDやパスワード、クレジットカード番号を入力させることで利用者の情報を不正に入手し、本物サイトへの不正ログインやクレジットカードの不正利用により収益を得ようとします。
本物サイトを運営するサービス提供者にとって、大切な顧客を失わないためにも、自社ブランドのサイトを模倣したフィッシングサイトは放置できません。
ISIAでは、当社がRecorded Futureを用いてお客様の本物サイトに類似するドメインやロゴ画像などを転用している偽サイトをインターネット上から検索し、その結果を月次レポートとしてご提出します。
また、オプションによる偽サイトの閉鎖までご支援が可能です。
最後に
今回ご紹介したRecorded FutureならびにISIAをご紹介するウェビナーが2022年10月26日(水)14時00分~15時00分に開催されます。
ウェビナーにご参加いただいた方にはISIAの期間限定・特別優待キャンペーンにご招待いたしておりますので、ぜひこの機会にご参加ください。
ウェビナーへの参加お申込はこちらから。
(参加お申し込みの〆切は2022年10月25日(火)18時00分です)
