インテリジェントウェイブ　メールマガジンVol.39

2023.11.21｜

更新日：2023.11.21

▼本日のトピックス▼（目次）

役員「○○攻撃が流行っているらしいが、うちは大丈夫かね？」に即答するために必要なこと

脅威インテリジェンス「Recorded Future」ライターチームの茂木です。

「○○社がサイバー攻撃で1000万件も個人情報を流出させたらしいな、うちは大丈夫か？」

あなたが会社のセキュリティ対策を担当する職務に就いている場合、上長や経営層からこのような素朴な問いかけを受けた経験が一度といわず何度もおありかと思います。あるいはもっと具体的に、

「Emotetがまた流行っているらしいが、うちは大丈夫か？」

「Log4Shellなんてもんが流行っているらしいが、うちは大丈夫か？」

などとマルウェアや脆弱性の名前を提示され、自組織のセキュリティ成熟度を問われるかもしれません。

これに対応するために、例えば既に導入しているセキュリティ製品のベンダーに防御機能や実績を確認するのも一つの手でしょう。

しかし、その際に得られる回答は一般的かつ限定的なものであり、自社の環境・防御設定でも同様に防御できるかは疑問が残ります。

セキュリティ担当者としては全ての問いかけに対して「大丈夫です！」と自信を持って答えたいところですが、「大丈夫ではない」ケースも多いことでしょう。

その際、「なぜ大丈夫ではないのか」、「攻撃される確率はどの程度か」、「攻撃された際の損害はどの程度か」、「追加で何をする（あるいは導入する）必要があるか」について証拠をもって論理的に説明することで、経営層に対して現状のリスクを正確に把握してもらい、セキュリティ対策の成熟度を高める機会として活用することができれば皆が幸せになることができます。

素朴な問いかけへの即答には準備が必要です。必要とされる準備の項目と、それぞれの項目に共通して必要な「自組織に対する脅威を知る」を支える脅威インテリジェンスのソリューションをご紹介いたします。

サイバー攻撃に対処できる体制を構築しておく

たった今、「それができれば苦労はしないんだよ」という声が聞こえてきましたが、まずは基本的な部分を抑えなければやはり即答できる状況からは程遠いでしょう。「全くダメです」などと即答した暁には大目玉が待っていることでしょう。

■サイバーハイジーン

ここでいう基本的な部分とは、

資産管理ができている
脆弱性管理ができている
特権アカウントの管理ができている
シグネチャベースの攻撃検知ができている

このような項目を指しています *1 。

サイバーハイジーンと呼ばれるものであり、コロナウイルスでいうところの手洗い・うがいのような「とりあえず、やっていて当然でしょ」な対策のことです。
それぞれ専用のツールがありますので、まずはこれらを徹底することを強く推奨いたします。

サイバーハイジーンについて詳しく知りたい方は下記のブログ記事「サイバーハイジーン」をご参照下さい。

■脆弱性診断

前述のサイバーハイジーンの中でセキュリティ担当者がまず頭を悩ませるのが脆弱性管理です。IT機器やソフトウェアの資産管理をした上で、既知の資産の脆弱性を網羅的に洗い出すために実施されるのが脆弱性診断というテストです。実施方法としては脆弱性スキャナと呼ばれるツールを導入して定期的に脆弱性をスキャンする、もしくは専門のベンダーに診断を依頼する、といったものがあります。

これを実施することで、役員から問われた脆弱性が、自組織が利用しているテクノロジーに含まれているかどうかを瞬時に把握することができるようになります。「当社は○○社製のネットワーク機器を使用していません」などと即答できるようになります。

【ご参考】脆弱性診断について詳しく知りたい方は下記の記事「脆弱性診断（セキュリティ診断）とは？やり方や診断項目、診断の手順、診断例を解説」をご参照下さい。

■レッドチーム演習 / 敵対的エミュレーション

脆弱性診断よりも広く組織全体のセキュリティ対策の成熟度を測るものとしてレッドチーム演習というテストがあります。こちらは高度なテストで、構築した「サイバー攻撃に対処できる体制」が本当にうまく機能するかどうかを実際の攻撃シナリオに沿った形で評価していきます。

実際の攻撃シナリオを再現して組織環境に対して本物の攻撃を仕掛けるため、「○○攻撃が流行っているらしいが、うちは大丈夫かね？」という質問に対してまさしくストレートに回答するためのものといえる一方、攻撃者の性質や攻撃手法、直近のトレンドなどを熟知した組織でないと実施が難しいという事情があり専門のベンダーに委託するのが一般的です。

頻繁に実施できるものではなく1年に1回の実施が現実的で、費用も高額になります。その代わりに得られる「なぜ攻撃シナリオが成功したか / 失敗したか」というフィードバックは実際のリスクに即しており、セキュリティ対策強化のために非常に有益なものになります。また、EDRやSIEMなどを導入しログを保全しておくことでフィードバックを高い粒度で可視化することができる上、後述の脅威ハンティングの準備が整います。

【ご参考】レッドチーム演習について詳しく知りたい方は下記の記事「レッドチームテストとペネトレーションテストの違いを解説」をご参照下さい。

既に攻撃が始まっている兆候がないか調査する（脅威ハンティング）

次に、問われている攻撃が既に始まっていないか調査する方法についてお話しします。ご存じの通り、セキュリティ対策に100％絶対完璧は存在せず、どんなに強固な防御体制を構築していたとしてもすり抜けられてしまうことがあるため、「当社はちゃんと対策しているので攻撃されるわけがありません」と言い切ることにあまり意味はありません。

既存のセキュリティ対策製品による防御をすり抜けてしまった脅威を洗い出すには前述のEDRやSIEMに蓄積された自社環境のログを調査することが最も一般的です。

■サイバー攻撃を行うと痕跡が残る

殺人事件の現場に残された足跡や指紋などから犯人を特定するのと同様に、サイバー攻撃を受けた環境には何かしらの痕跡がログとして残っており、それらを調べることで犯行の有無を判断することができます。マルウェアの実行履歴や攻撃者サーバとの通信履歴、マルウェアが生成する一時ファイルの存在などが痕跡にあたり、IoC（Indicator of Compromise）と呼ばれています。

つまり、調査したい攻撃に関連するIoC情報を入手し、自社環境のログと照らし合わせて痕跡がないことを確認できれば、攻撃を受けていない可能性が高いと報告することができます。この確認のことを脅威ハンティングと呼んでいます。

■脅威ハンティングの流れ

脅威ハンティングは図1.のように仮説構築 → 仮説検証というフローで行われます。

Recorded Futureにおける脅威ハンティングの流れ

図1. 脅威ハンティングの基本的な流れ(*2)

検証可能な仮説の構築：

仮説を立てます。具体的な調査方法・判断基準を設定する要があります。

例）Emotetに感染している端末がある

仮説の検証：

　　仮説の真偽を調べるために調査対象・方法・基準を設定し、検証します。

例）Emotetに感染した際に発生する、「端末から攻撃者サーバへの通信ログ」が残っているか

上記はIBH（Intelligence based Hunting）と呼ばれる脅威ハンティング手法の一例であり、仮説構築と検証には様々な手法が存在しています。痕跡が見つからなかった場合はレポートにまとめ、問題なしと報告します。痕跡が見つかってしまった場合はそのままインシデント対応に進みます。インシデント対応については本稿では割愛いたします。

「脅威を知る」ためにするべきこと

ここまで読んでいただいた方には、冒頭の素朴な疑問に回答することがいかに難しいかご理解いただけたかと思います。平時における体制構築と脅威ハンティング、簡単にご説明して参りましたが実践するとなると大変な時間とコストを要することになります。

また、あえて深く触れませんでしたが、それぞれの項目には続きがございます。

脆弱性管理においては見つかった脆弱性への対応として修正プログラムを適用することになりますが、脆弱性は大量に検知されることが多いため、優先度を付けて対処していく必要があります。優先度づけのためには、外部機関における脆弱性の重大度スコア、脆弱性を突かれた際の影響、直近で報告されたインシデントの数などの情報が必要となります。

レッドチーム演習を自組織で実施する際はリアルな攻撃シナリオを作成するために、実際に攻撃を行っている脅威アクターの目的や意図、主な標的、攻撃手法、直近の活動状況などについて調べる必要があります。

脅威ハンティングで使用するIoC情報についても、日々変化するものですので新鮮な情報に常にアクセスできるようにしておく必要があります。

これらに共通する項目として、「自組織への脅威に関する情報収集」が必須であると言えるでしょう。

■自組織への脅威に関する情報収集技法

脅威に関する情報はインターネット上のサイトや専門のコミュニティなどで入手することができます。

情報セキュリティに関するニュースサイトの記事

例：Security Next *3, ZDNET *4

セキュリティベンダーが公開する情報

例：ブログ、レポート、IWIのセキュリティブログ, IWIのメルマガ

例：X(旧Twitter)、Telegram

特定の情報共有コミュニティによる情報提供

例：各業界のISAC

情報セキュリティ機関が公開する情報

例：JPCERT/CC *5, IPA *6

無償の脅威インテリジェンスサイト、データベース

例：Shodan *7, urlscan.io *8, Virus Total *9

有償の脅威インテリジェンスサービス

例：Recorded Future

ここでは具体例として有償インテリジェンスサービス「Recorded Future」で得られる情報と、利用するメリットをご紹介いたします。

「脅威を知る」を支える脅威インテリジェンス、「Recorded Future」のご紹介

Recorded Future社の提供する脅威インテリジェンスをご利用いただくことで「自組織への脅威に関する情報収集」を効率的に行うことができます。脅威に関する情報は様々な情報ソースから提供されますが、Recorded Futureはそれらを収集・加工・分析した結果をポータルサイト上に表示してくれます。

その過程で情報の分類、真偽判定、重要度の評価などを行っているため、利用者はポータルサイトの検索欄をGoogle検索のように使って必要な情報を取得しそのまま活用することができます。必要な情報が「インテリジェンスカード」と呼ばれる1枚のカードにまとめられて表示されるため、あちこち点在する情報を参照して回ったりすることなくそのまま活用することができます。

Recorded Futureのプラットフォームの概要

例えば、脆弱性管理番号「CVE-2023-4966」などと検索することで以下の情報を取得することができます。

脆弱性の概要（高精度なAIによる自動生成、専属アナリストによる手動のレポート）
脆弱性のリスクスコア（Recorded Futureが独自に算出、根拠も明確に提示される）
関連するテクノロジー、製品、サービス
直近でこの脆弱性を突いた攻撃がどの程度発生しているか
緩和策
脆弱性に関する外部レポート、SNSでの関連する投稿、フォーラムでの関連する発言など
どの攻撃アクターがこの脆弱性を積極的に利用しているか
関連する文脈情報（関連する他の脆弱性、この脆弱性を利用するマルウェア名やハッシュ値、関連する攻撃手法など）

図2.は「CVE-2023-4966」と検索した際のインテリジェンスカードの一部を抜粋したものです。

Recorded Futureが提示する脆弱性のインテリジェンスカード

図２. 脆弱性のインテリジェンスカード（一部抜粋）

別の例ですと、攻撃アクター名「Black Tech」などと検索することで以下の情報を取得することができます。

攻撃アクターの概要
攻撃アクター名の別名
拠点とする国
標的としている国や業界、組織
頻繁に利用する攻撃手法（TTPs）
直近の活動状況（声明や事件、攻撃アクターに言及したレポートの発行やニュース報道など）
ハンティングパッケージ（攻撃手法を検知するためのデータセットであり、EDRやSIEMなどのセキュリティ製品にインポートすることで攻撃を検知ができる）
関連する文脈情報

これらはほんの一例です。攻撃キャンペーンやマルウェアの概要情報をそのまま経営層に報告して事足りる場合もあるかもしれません。脅威に関する情報が日本のニュース記事で報じられるよりも早く、少なくとも同時にRecorded Futureのプラットフォームに蓄積されていくため月曜の朝、出勤早々の「大丈夫かね？」を恐れる必要はなくなるでしょう。

資料請求およびデモのご依頼はこちらからお問い合わせ下さい。