依然として多いフィッシング事件

  ECサイトを名乗り「会員登録の未納料金が発生しております。本日中にご連絡がない場合、法的手続きに移行します。EC業者名、電話番号」や、宅配事業者を装い「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご連絡ください。URL」のSMS(ショートメール)を受け取った方もいると思う。後者の場合、URLをクリックすると宅配業者の偽装Webページに誘導され、個人のIDやパスワードの入力を促す画面に遷移するようである。

 トレンドマイクロのレポートによると、2018年に発生した個人利用者を狙う「三大脅威」は①フィッシング詐欺、②SMSを発端とする不正アプリ拡散、③「セクストーション(性的な脅迫)」スパムだったようである[1,2]。また、ビジネスの場でも、メール経由の「ビジネスメール詐欺(BEC)」、特に組織内の経営層になりすます「CEO 詐欺」が世界的な増加傾向にあると報告されている。攻撃者は、Deep WebやDark Net等で取引されている漏えい情報からメールアドレスとパスワード等の情報に加え個人情報など、各攻撃対象の調査・準備を行い、攻撃の成功率を高めているようである。 また、サイバー情報共有イニシアティブ(J-CSIP)の2019年1月末の運用レポート[3]によると、国内企業と海外取引先の間のビジネスメールのやり取りの中に詐称用ドメインを使って攻撃者が割り込み、詐欺を試みたようで、「攻撃者は何らかの方法でメールを盗聴していたものと考えられる」と報告している。攻撃者は、海外取引先になりすまし国内企業に向けて「以前連絡した振込先口座が監査の最中で利用できないため振込は待つように」「別の振込先口座を連絡する」と詐欺を試みたようである。

 本誌2018年Vol.55, No.8でも報告したが、攻撃用のツール(マルウェアのパッケージ、サーバアクセスに必要な資格情報、攻撃用インフラの賃貸など)もDeep WebやDark Net上で通常のソフトウェアを販売しているかのように扱われており、一種の産業化・汎化が進み、攻撃者層の裾野の広がりが懸念される状況である。つまり、攻撃者側は攻撃対象の公開情報や漏えい情報から得られるインテリジェンスを利用し、企業間の取引や通信の不正監視、盗聴など不正な諜報活動を行い、さらに洗練された攻撃ツールを用いることで攻撃を進化させている。

サイバー脅威インテリジェンス

 攻撃者側が既にインテリジェンスや洗練された攻撃ツールを活用し、攻撃を進化させている以上、防御する側もより一層効率的に守ることが必要である。つまり、現在の情報セキュリティ運用、インシデント対応においても、サイバー脅威インテリジェンス(CTI: Cyber Threat Intelligence)の活用は欠かせなくなってきている。

 CTIの定義・分類については、その利用目的と期間による分類(Tactical Threat Intelligence, Operational Threat Intelligence, Strategic Threat Intelligence)がある[4,5]。Tactical Threat Intelligenceとは、IoC(Indicators of Compromise)や、攻撃に用いられる技術や手口〔TTPs(Tactics, Techniques and Procedures)〕等の戦術的な情報である。Operational Threat Intelligenceとは、攻撃者のプロファイルや攻撃パターンなど組織のリスク評価やセキュリティ計画策定に利用できる情報である。Strategic Threat Intelligenceとは、サイバー攻撃の動向などで、企業のセキュリティ戦略立案に活かすことのできる情報である。

 攻撃や攻撃に関係する情報を把握し、防御・対策に導くためのCTIの例としては、OSINT(Open Source INTelligence):公開情報を分析したインテリジェンス、HUMINT(HUMan INTelligence):人間から取得した情報を分析したインテリジェンス、SIGINT(SIGnals INTelligence):通信情報を分析したインテリジェンス、IMINT(IMagery INTelligence):画像情報を分析したインテリジェンス等がある[6]

 CTIとして、具体的に収集・蓄積・分析する対象には、「脆弱性情報」、「サイバー攻撃の攻撃元、攻撃先(国、業種など)、経路(手段)、目的」、「攻撃に使用されるマルウェア、制作者、分類(亜種)」、「攻撃のトレンド」、「政府動向、法制化、情報統制、法執行機関への権限付与などの動き」などがある。

 OSINT活動では、インターネット上の掲示板やSNSの情報、各種レポートや記事情報を分析し攻撃の傾向や予兆を分析する。また、Winny等でやり取りされる情報を分析し自組織や顧客に関連する漏えいの傾向や状況を分析したり、脆弱性を有する機器等の情報を提供するDBを用いて、組織に関連する情報の有無や傾向の分析などを行う。なお、重要な情報の90%程度はOSINTで得られると言われている[7]。OSINTの例としては、JPCERT/CC、IPA、Mitre、US-CERTなどが提供する情報、参考文献8,9に示すような情報[8,9]などがある。

CTIの活用

では我々はどのようなCTIを、どのように利用すればよいのであろうか?まず、良いCTIとは、情報が正しく、セキュリティの現場が次のアクションに活かせるCTIでなければならない。良いCTIの条件として次の3項目がある[4,10]

1. Actionable:CTIを受け取った担当者が、その情報をもとに次のアクションをできること。

2. Certainty:その情報をもとに次のアクションを行うため、情報の確からしさ、あるいは確度を明確にできること。

3. Timing:その情報をもとに次のアクションを行うため、適切なタイミングでCTIを渡すこと。

 CTIについては、自分たちが情報を入手・分析した結果として得られるものもあるし、第三者から入手する場合もある。入手したIoCやTTPsは、セキュリティ運用の現場においては、当該情報が運用ログに存在しないかチェックしたり、ブラックリストに反映したりするなどして利用できる。また、攻撃者のプロファイルや攻撃パターン情報を参考に、CSIRT訓練メニューに反映することも可能となる。より具体的な活用例については、NRIセキュアブログ等[11,12]にも詳しく紹介されているのでのご参考にされたい。

 我々はG20大阪、ラグビーワールドカップ、2020大会等を控え、従来の攻撃を防御する、もしくはインシデント対応だけでは限界もあり、OSINT以外のCTIを活用した運用も必要である。利用するCTIとしては、例えば、Deep WebやDark Netの情報も対象にし、各業界、政府等に特化した情報提供を行っている企業[13,14,15]の情報やFireEye、Avira等の大手セキュリティ会社が提供する情報などがある。KELA社はDark Netの通信を自動的にスキャンする技術により、主にお客様(リスクにさらされるネットワーク接続、顧客の認証情報、製品の脆弱性など)を狙う脅威に関するCTIを提供している。世界最大級の複数の組織により、攻撃の阻止や、既存のサイバーソリューションの制御を目的として利用されているようである。

 インテリジェンス活動によって得られた情報は、そのままの状態では単なる未加工データ、情報に過ぎない。より多くの情報を収集し、世の中のトレンドを「知る」ことは有用ではあるが最終目標ではない。得られた情報を組織におけるリスク管理や意思決定の材料として活用可能なように整理、加工し、「使える情報」にし、活用していくことが重要である。 [1]https://blog.trendmicro.co.jp/archives/20270 [2]https://blog.trendmicro.co.jp/archives/20437 [3]https://www.ipa.go.jp/files/000071273.pdf [4]https://www.scientia-security.org/entry/2018/02/04/130642 [5]https://www.sans.org/security-resources/posters/cyber-threat-intelligence-consumption/130/download [6]上田篤盛、戦略的インテリジェンス入門 並木書房(2016) [7]https://www.recordedfuture.com/open-source-intelligence/ [8]https://piyolog.hatenadiary.jp/ [9]http://yama-ga.seesaa.net/ [10]https://www.amazon.co.jp/exec/obidos/ASIN/B01HAL14IS/sushi-security-22/ [11]https://www.secure-sketch.com/blog/points-of-threat-intelligence [12]https://diamond.jp/articles/-/147168 [13]https://ke-la.com/ [14]https://rayzone.com/ [15]https://www.cybersixgill.com

<サイバーセキュリティのことなら下記へ>

https://www.ntt-at.co.jp/inquiry/product/