サイバースレットインテリジェンス(脅威インテリジェンス)とは

サイバースレットインテリジェンスとは?

スレットインテリジェンス(脅威インテリジェンス)とは

昨今は、毎日のようにサイバー犯罪のニュースを目にしますよね。

今、サイバースレットインテリジェンス(Cyber Threat Intelligence:以降CTI)あるいはサイバー脅威インテリジェンスと呼ばれる情報やこれを提供するサービスが注目されています。

サイバー空間は私たちの日常の場となっているので、CTIの「サイバー」を略してスレットインテリジェンスあるいは脅威インテリジェンスと呼ぶこともあります。

CTIはどんなもので、どのように役立つのでしょうか。

今回の記事は、高度なセキュリティ対策の情報が欲しい方に是非読んで頂きたい内容となっております。

活用用途について知りたい方はこちら↓

スレット(脅威)インテリジェンスは本当に活用できているのか?

スレットインテリジェンスって何をするの?

そもそも日本語では脅威情報とも呼ばれるCTIですが、普段私たちが使う「情報」という単語は英語ならInformationと綴るのが普通ですね。

しかしCTIのIはIntelligenceです。何が違うのでしょうか。

アメリカの捜査ドラマなどでよく出てくるCIAという組織があります。

中央情報局と訳されるこの組織は英語ではCentral Intelligence Agencyであり、Wikipediaによれば「外国での諜報を行うアメリカ合衆国の情報機関」とあります。

しかし彼らは世界中のあらゆるデータを無作為に集めているわけではありません。

諜報活動を通じてアメリカ合衆国の安全保障政策の決定に必要な情報を収集分析しているのです。そうして得られるもの、それがCIAのIntelligenceです。

これを踏まえて考えると、CTIはその名称の通り、様々なサイバー脅威に関する情報を収集・分析し、犯罪組織からの攻撃に対する予防・防御・検知・インシデント対応・復旧などの活動を支援するための成果物であるということになります。

サイバーキルチェーンとCTIの具体例

サイバーキルチェーン

CTIの理解を深めるため、サイバーキルチェーンについて見ておきます。

サイバー犯罪者またはグループが、その目的を達成するまでのステップを7つに分類します。

どこかのステップでこの作業を断ち切ることができれば、その犯罪の目的達成を阻止することができるという考えに基づいて作られています。

このチェーンを断ち切るために必要となる情報がまさにCTIであると言えます。

例えば「偵察」から「武器化」への移行時を例にとります。

犯罪グループが自社と関係する脆弱性やすでに漏洩してしまった認証情報などを探したり購入したりする行為を発見できれば、自社が狙われている可能性に気づくことができます。

あらかじめ対策を検討することも可能になります。

犯罪グループから自社の脆弱性がどのように見えているかを知ることも防御策を講じるのに大いに役に立つでしょう。

また「武器化」から「配送」への移行時では、配送(つまり感染・侵入)されてくるマルウェアを検出するための情報、例えば攻撃に使用される指令サーバ(C&Cサーバ)のIPアドレスやURL、あるいはマルウェアそのもののハッシュ値などが、チェーンを切るために有効な情報となります。

CTIベンダーは、ユーザ自社内では収集できないこれらの情報を、ユーザの要望に応じてネット上のあらゆる場所から収集・分析し、システムの安全に役立てる情報として提供しています。

スレットインテリジェンス3つのカテゴリ【身を守るために敵を知る】

サイバーの戦場は常に攻撃者優位です。

次々と新しい手段を講じる敵の攻撃から身を守るためには、敵の攻撃方法を理解する必要があります。

アンチウィルス(AV)またはアンチマルウェアと呼ばれる製品があれば、既知の攻撃からある程度身を守ることが可能ですが、未知の攻撃(ゼロデイ)には効力がありません。

未知の攻撃を理解し対処するには、敵の攻撃パターンを理解し、その癖を把握し、些細なイベントから攻撃されている可能性を予見しなくてはなりません。

CTIの世界では、攻撃者のこのような特徴・癖を「戦術」「技術」「手順」の3つのカテゴリに分類して整理しており、この3つをまとめてTTP(Tactics, Techniques and Procedures)と呼んでいます。

TTPを理解することは敵を知ることであり、実際に攻撃された場合において、相手が誰なのか、なぜ自分が狙われているのかを理解する助けになり、問題が顕在化する前に解決したり、問題が顕在化した場合の対応や事後の予防策を策定する手助けとなります。

自社のブランドを傷つけないためにCTIの情報が必要な理由

自社が運用するユーザ向けWebサイトがあるなら、そのサイトのURLとそっくりの悪意のあるサイトにも注意を払うべきです。

フィッシングサイトと呼ばれるこれらのサイトは、アクセスすると感染するマルウェアが仕掛けられていたり、アクセスする際にもっともらしくユーザ名やパスワードを尋ねてそれを盗むように作られていたりします。

これらのサイトを見つけて閉鎖させるのは自社のサイトの安全を確立するよりも手間がかかり、なにより、どうやってそのような偽のサイトを見つけ出せばよいのかという課題に直面します。

このような場合、自社のURLと似ておりかつ危険度の高いURLを検知してくれるCTIベンダーのサービスが役に立つでしょう。

また、ターゲット企業にダメージを与えるためにその企業のブランドを棄損するようなコンテンツや、フェイクニュース等を使ったデマがネット上に流されることがあるというのはご存じだと思います。

場合によっては、国家の指示のもと政治的な工作活動としてこのような攻撃が行われることもあります。

このように、サイバー世界で自社を守るためには、防御を固めるだけでは十分とは言えず、より積極的な調査や対策が必要となることもあります。

そのために必要となる情報がCTIです。

まとめ

今回はスレットインテリジェンスについて以下の点について解説致しました。

  • スレットインテリジェンスとは、様々なサイバー脅威に関する情報を収集・分析し、犯罪組織からの攻撃に対する予防・防御・検知・インシデント対応・復旧などの活動を支援すること
  • サイバーキルチェーンを理解すれば、相手の攻撃の手口が分かる
  • 攻撃者の特徴・癖を「戦術」「技術」「手順」の3つのカテゴリに分類して整理し、敵を知ることが重要
  • サイバー世界で自社を守るためには、防御を固めるだけでは十分とは言えず、より積極的な調査や対策が必要(だからスレットインテリジェンスが必要)

CTIは従来のセキュリティ製品・ソリューションだけでは守ることのできない、より高度で長時間をかけて行われるようなサイバー攻撃に対する「新しい知恵」です。

今後ますます重要度が増すことでしょう。CTIを活用するためには、適切な手法・ソリューション・サービスの選択と、これを自社に適用するためのノウハウが必要となります。

また、ネットの世界から情報を集めてIntelligence化するCTIだけでなく、自社システムが攻撃を受けていないかを、より積極的に探し出す「スレットハンティング」という手法が、これからのサイバーセキュリティ強化に不可欠な2大ソリューションとなるでしょう。

外部のインテリジェンスと内部のインテリジェンスの両方を備えることが重要なのです。

テリロジーワークスはCTIとスレットハンティングの両面で皆様をサポートしております。

最後まで読んで頂きありがとうございました。