サイバーインテリジェンスのスゝメ

 マキナレコード代表の軍司です。Webサイトを新しくしてからもう暫く経つのですが、いままでちゃんとした記事を書いて投稿したことがなかったので、今回改めて会社自己紹介と、サイバーインテリジェンスについてのあれこれを書いてみたいと思います。

マキナレコードについて

 2016年の創業以来、マキナレコードは主に海外のサイバーインテリジェンスの商材の取り扱い、スタートアップやIPOを考えている企業さまへのセキュリティ体制構築支援コンサルティングを中心に、事業を運営しています。

 始まりは2015年の年の暮れでした。
 恵比寿の小さな喫茶店で、私の知人からFlashpointというダークウェブのモニタリングを行っている会社の紹介をしてもらったのが創業のきっかけです。私自身セキュリティには2000年代前半、ヤフーのセントラル技術部というコアテクノロジの部署に所属していたときから取り組んでいたのですが、その喫茶店で初めてダークウェブでのアクターのコミュニケーションを垣間見たときの衝撃は今でも忘れません。Torに守られながら、サイバー攻撃や違法なアイテムの取引について自由に情報を交換しているアクターたちの存在を初めて知りました。Torの中は、まさにアンダーグラウンドの世界。
 実際に犯罪を行うと考えられるアクターのコミュニケーション、これを理解せずにこれからのセキュリティは成り立っていかないだろう、そう感じた瞬間でした。サイバーインテリジェンスという単語を初めて聞いたのも同じ時で、「これからのセキュリティを考える上で絶対になくてはならない対策の一つになる、これを日本に広めていかなくてはいけない」その思いから、2016年6月にマキナレコードを創業しました。ちなみに社名の由来は別の記事で書こうと思います。音楽事業はやっていません!

 現在当社ではサイバーインテリジェンスのサービスとして以下の製品を取り扱っています。サイバーインテリジェンスをどう取り扱うべきか、それぞれのサービスがどのような特徴を持つのか、公表できる事例を織り交ぜて数回の記事に分けてご紹介できればと考えています。

Flashpoint: ダークウェブのモニタリングサービス。掲示板、フォーラム、Chatサービスを含む膨大なダークウェブのコミュニケーションを記録。米国の司法機関で捜査官として働いていた経験者が多数在籍。22の言語に対応。
Silobreaker: OSINTツールとして利用可能な100万を超えるメディアソースの横断検索と可視化サービス。日常の業務で把握するべきセキュリティのトレンドや事象の背景の把握、リスクマネジメントに絶大な効果を発揮。
Anomali: あふれかえるIOC、インテリジェンスの断片を集約し、統括管理できるようにするThreat Intelligence Platform。(まだ当社のほうで紹介ページは用意できておりません)
reGemini: 漏洩クレジットカードに特化したモニタリングサービス。既存の不正検知システムとあわせることで大きな効果。不正利用される前に対策が取れ、被害を大きく抑えることが可能。

サイバーインテリジェンスってなんだ

 最近やっと「サイバー(脅威)インテリジェンス」という単語が知見として広まってきました。英語だと「Cyber Threat Intelligence」と表現されています。非常に個人的な好みなのですが、脅威インテリジェンスは語呂が悪いので私は脅威を省いて、サイバーインテリジェンスと表現しています。この記事で指すサイバーインテリジェンスはサイバー脅威インテリジェンスを指す、と理解していただいて構いません。
 閑話休題。
 ところで、インテリジェンスという単語、いまいちぱっと具体的なイメージが湧いてこない、そんなふうに感じてる方も多いのではないでしょうか?そもそもインテリジェンスという単語自体、馴染みが薄い方もいらっしゃると思います。適切な日本語があまりないのもその理由の一つかもしれません。「諜報」「情報」ではちょっとピンとこない、そもそもinformationの情報と何が違うのか。当社では、以下のように考えています。

インテリジェンスとは
「意思決定者の要件に基づき収集した(脅威)情報を、分析・加工し、意思決定者に提供するアウトプットのこと」

 これまで一般的には軍事目的でインテリジェンスは活用されてきました。これをサイバー空間にまで広げ、サイバーインテリジェンスと定義しています。

実はすでに始めてるインテリジェンス

 上記で定義した部分で重要なのは、「意思決定者が要件を定義」と「(脅威)情報の分析と加工」です。すでに多くの会社がセキュリティチームを社内に持ち、さまざまな対策を検討されていると思います。そしてその対策の鍵となるのが攻撃に関する「情報」です。攻撃者のIPアドレス、ドメイン、マルウェアのハッシュ、攻撃の際のパラメータなどのいわゆるIOC:Indicator of Compromise。また、脆弱性情報、新聞などで提供されるサイバー攻撃に関するニュース、こういったものももちろん情報にカテゴライズされますね。
 いまセキュリティチームが組織内にある場合、すくなくともこれらの情報は日常的に触れていることと思います。そしてそれらの情報を活用して、対策を取られているでしょう。

 脆弱性情報を例にとって考えてみます。毎日更新されるCVE情報を皆さんは読んでおられると思います。最近だとZerologon(CVE-2020-1472)が話題になりましたね。脆弱性情報を日々業務の中で確認されている方は、このCVEに触れた際、すくなくとも「自分が管理しているシステムに影響するかどうか」「影響するのであればどれくらいクリティカルかどうか」などといったことを考え、もしそれが自分たちのシステムに大きく影響すると判断した場合は、上司に対して「Zerologonという脅威度が非常に高い攻撃が発見された。すぐにドメインコントローラにパッチを当てなくてはならない」と進言されたはずです。これがインテリジェンスです。

これ以外にも
 * 攻撃者のIPアドレスをFWに適用する
 * 他社のセキュリティ施策に漏れがあり、攻撃を受けたので自社のプロセスを見直した
こういったものも、インテリジェンスを活用しているといえます。
 つまり、何らかの形で皆さんはすでにインテリジェンスをしていると言えるのです。ただ、それを意識して行っているわけではないため、要件や報告内容の粒度がかなりばらついてしまうと思います。意識してインテリジェンスを実施することで、インプット(要件)とアウトプット(報告)の粒度をより明確にできるより明確にするために事業で持つリスクを深く分析、認識できること、そういったことから組織において体系的にインテリジェンスを取り扱うことが今後重要になってくると考えています。

 国外の大企業では、インテリジェンスアナリストやチームの存在が当たり前になってきていますが、今後日本国内においても、インテリジェンスを組織的に取り扱うようになっていくでしょう。

 当社では、インテリジェンスが今後経営においてさまざまな戦略や運営方針を決定する重要な役割になると考え、インテリジェンス業務に関する様々な支援を続けています。

ダークウェブから得られる情報

 ダークウェブ、最近いろいろなところで耳にするようになりました。細かい解説は今回は省きますが、簡単に言うと匿名化されたインターネットの領域で主に非合法なコミュニケーション(物品や情報の売買を含む)のことを指します。具体的にどのような情報が取得できるかというと、

・サイバー関連の詐欺全般のアイテム
 ・認証情報
 ・クレジットカード番号
  ・フィッシングキット
 ・その他個人情報(パスポートなども含まれる)
・薬物/覚醒剤
・宝石
・銃器
・マルウェア・ウイルス
・ボットネット

(いまはTake DownされてなくなってしまったAlpha Bayの在りし日の姿。古いけどUIが美しいので取り上げました)

 これら以外にも、犯罪者が新たに生み出した攻撃手法(たとえば特定のサービスの脆弱性やプロセスの抜け穴、侵入時に利用するツールや技術)について掲示板やチャットを用いて情報交換しています。これらの会話はいわゆるTTP(Tactics, Techniques, and Procedures)に関連する情報として取り扱われることがあります。

ダークウェブを常に観察するべきなのか?

 業務としてダークウェブを監視する必要があるかどうか、これは会社の規模や業種に応じて変わってくると思います。海外の事例では、Fortune100に列挙されるような企業については少なくとも何らかの形でダークウェブの監視・調査手段を用意しているようです。日本国内においても、1兆円を超える企業や、金融関係、海外に多く支社をもっている企業については、真剣に検討したほうがいいかと考えています。これは昨今のメディアでダークウェブについて多く取り上げられていることもあり、なにかインシデントが発生した場合の経営者側の説明責任として求められてくる点も考慮しておく必要があるでしょう。

 ダークウェブを業務として常に監視する、ということが役割として与えられた場合、すくなくとも以下のことを考えなくてはなりません。

 ・なにをみるのか。探すのか
 ・何かしら重要な情報が見つかった場合、どうするのか
 ・監視環境の安全性をどのように担保するか

 ダークウェブへのアクセスは、控えめに言って危険です。無法地帯ですので何が待っているかわかりません。業務としては全く不適切な不快な画像(チャイルドポルノや暴力)もそこら中に存在していますし、マルウェアが仕掛けられている可能性もあります。
 また、ダークウェブは膨大な広さです。探しものをはっきりとさせていないと、到底有益な情報は取得できないと思います。ここは上述した「意思決定者による要件定義」につながるところですね。これがないと、「みつけたけどどうすればいいだろう」となってしまいます。

ダークウェブの情報を収集する

 ダークウェブから何を見つけたいのかが決まったら、収集フェーズです。ご自分でTorを利用しアクセスすることも可能ですが、上述しているようにリスクが大きく伴うので、その際は当社のようなダークウェブのモニタリングをしているベンダーに相談してみることも検討いただけるといいかなと思います。ダークウェブを監視しているベンダーは国外をいれてもたくさんあるわけではないのですが、業種や収集の得意分野により選定することをおすすめします。

 なお、当社が提供しているFlashpointを活用すると、彼らが収集している膨大なダークウェブの情報に安全にアクセスできるようになります。

 補足となりますが、ダークウェブから収集できる情報でIOCとして活用できる情報は、マルウェアのハッシュ情報を除き、それほど多くありません。

集めた情報をどうインテリジェンス化するか

 冒頭から申し上げている通り、インテリジェンスとは、意思決定者が意思決定の判断に活用できる情報を加工したアウトプット、となります。そのため、一般的にはレポートの形になることが多いです。

 アウトプットのレポートに含まれる内容は、ケースにもよるのですが、一般的に以下の内容を含むべきだと考えています。

 ・意思決定者により提供された要件
 ・観測された脅威に関する概要
 ・脅威に関わるアクターの情報
 ・その脅威の信頼性
 ・信頼性の根拠となる詳細の内容
 ・情報ソース

 この時点で注意するべきは、「極力分析者の主観を排除すること」です。バイアスがかかりやすくなるため、分析者が一般的な推奨対策案として提示できない場合は、関係者による対応策の検討を上奏したほうがよいでしょう。分析者は戦略に関する決定をしてはなりません

ダークウェブを監視していて防げた事例

 事例をあげると枚挙にいとまがないのですが、例えば

 ・発表前のプロダクトのソースコード流出の未然防止
 ・ATMを狙ったマルウェア
 ・銀行のフィッシングキットの入手
 ・産業スパイの摘発
 ・マルウェアから攻撃者の背景の分析
 ・認証情報の売買に関する情報
 ・特定の企業へのバックドアプログラムの販売の検知

 日本を狙った攻撃も非常に多く観測されるようになってきています。私がFlashpointを販売し始めたころは、日本に関する情報は3ヶ月に一度くらいのペースでしたが、最近は1ヶ月に数件の具体的な脅威情報を観測するようになってきています。

インテリジェンスの作り方

 上述した内容のまとめとなりますが、情報をインテリジェンスとして取り扱うには、以下の内容を実施すると良いでしょう。

  1. 自組織のおいて、何が脅威となるのか、いわゆるリスクアセスメントを行う
  2. 何を監視するべきか、どんな情報が必要かを決める
  3. どこからどうやって情報を収集するかを決める
  4. 収集した情報をどのようにインテリジェンス化し報告するかを定義する

 これらを組織的に、かつ意識的に実行することでよりプロアクティブなセキュリティ対策をとっていくことができます。SOC(Security Operation Center)やCSIRTとの連携もインテリジェンスを軸に連携を取ることができるようになるため、いままでなんとなくやってきていた情報収集がより明確なアウトプットとして提供できるようになります。

 当社では最近、ダークウェブのインテリジェンス業務を代行して取り扱う事業を開始いたしました。いわゆるManagedサービスです。当社ではManaged Intelligence Serviceとして提供させていただいております。ダークウェブの情報は知りたいけど、取り扱う人員リソースも、情報ソースもない、という方がいらっしゃいましたら、お気軽にご相談ください。

まとめ

 今回はサイバーインテリジェンスの取り組みとはどういったものか、ダークウェブの調査はどうするべきかについて記述いたしました。

 繰り返しになりますが、サイバーインテリジェンスにおいては、自分の会社や組織にとってどんな情報を収集し、インテリジェンスとして活用したいかの定義が重要になってきます。そのためにはまず、なにが組織にとって脅威(リスク)となるかの評価をする必要があります。日頃から自組織が守るべき資産、潜在する脆弱性の洗い出しといったリスクアセスメントを行うことをおすすめいたします。

 最後に、セキュリティに携わっている皆さんは、どんな脅威が見つけられるのか、高い関心を持たれているはずです。実は昨年暮れに事務所を移転した際に、ハンズオンでインテリジェンス製品を体験いただけるショールーム「セキュリティスクエア」を準備していたのですが、昨今の社会状況により閉鎖中です。近々、必要な対策をとった上で運用を開始したいと思っておりますので、どうぞご期待ください。

次回は、OSINTについての記事を書きたいと思います。