東陽テクニカ セキュリティ&ラボカンパニー完全オリジナル
サイバーセキュリティ2020最前線
CYBER SECURITY FILES 2020

Chapter #02 サイバー脅威に脅威インテリジェンスで備える

1
2
  • サイバー脅威が見えにくくなってきた

  • サイバー脅威に対して脅威インテリジェンスが求められるようになってきた背景には、実はコンピューターウイルスなどのサイバー脅威に対する対策が進んできたことがある。
    従来のようにウイルスをばらまいても、ウイルス対策ソフトなどによって防御されてしまう。そのため、ウイルス対策ソフトでは見えないような攻撃の手法が増えてきて、検知が難しくなってきた。守る側からすると、サイバー脅威が見えにくくなってきたと言える。高度化したウイルス対策ソフトなどの既存の対策をすり抜けて、特定の企業や団体を攻撃するためにテーラーメイドで作られた手段が増えてきたことも、守りを難しくしている。
    攻撃者は、バラマキ型の攻撃でどこかに当たることを目指すのではなく、コストをかけて特定の企業や団体を狙った攻撃を仕掛けにかかっている。そうした中では、1つの防御手段だけでは、守り抜くことが難しい。既存の防御手段に加えて、複数の防御手段を組み合わせたり、脅威インテリジェンスを採用したりすることで多層防御を実現する方法は効果が高い。
    コンピューターやネットワークにセキュリティリスクが起きていないかを監視し、万が一のときに対応を指揮するのはCSIRT(Computer Security Incident Response Team)の役割である。脅威インテリジェンスのソリューションは、CSIRT の分析官を補助する役割を果たす。見えにくくなってきたサイバー脅威から企業やブランドを守るために、「どこを見に行くか」を指し示す知見として、脅威インテリジェンスの役割は一層大きくなっていくだろう。
  • テーラーメイド化した攻撃手法の例

    同じ結果をもたらすコードであってもハッシュ値を変えて偽装することは可能だ
    A or C(A and A) or (A and C) or (C and A) or (B and A)or (B and C) or (C and (not B))
    上記数式の右辺と左辺は計算結果が同じだが、見かけ上違う記述に書き換えてみる例えば、マルウェアのハッシュ値はかわってしまうはずだ(下記はWannaCryのファイル ハッシュ値)
    MD5:db349b97c37d22f5ea1d1841e3c89eb4
    SHA1:e889544aff85ffaf8b0d0da705105dee7c97fe26
    SHA256:24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

  • 脅威インテリジェンスを企業の意思決定に活用

  • それでは、脅威インテリジェンスは実際に企業の意思決定にどのように役立つのか。
    脅威インテリジェンスが企業の意思決定に貢献する大きな分野は、サイバー攻撃への対応である。前述したビジネスメール詐欺のようなサイバー攻撃に対しても、「知り得なか ったサイバー攻撃から企業を守る」というリクワイヤメントに応じて、情報を収集して分析した脅威インテリジェンスがあれば、事前の従業員教育などを通じて被害を防ぐことができた可能性は高い。
    2017年に世界規模で被害が発生した身代金要求プログラムであるランサムウエアの「WannaCry」。パッチによる修正が事前にアナウンスされていたにもかかわらず、ヨーロッパを中心に大きな被害が生じた。このときに「自らの企業や団体が外部からどのように見られているか、攻撃対象として価値があるのか」という視点の知見が脅威インテリジェンスを通じて得られていれば、多くの企業や団体で事前に対策を施すことができただろう。
    脅威インテリジェンスは、こうしたIT関連の攻撃への対応だけでなく、企業活動を推進する上で意思決定に役立つ幅広い知識を与えてくれる。その一例がブランド毀損への対策である。企業にとって、ブランドは製品やサービスそのものにも勝る価値を持つ場合が多い。海外で自社製品のコピー商品が出回り、コピー商品の低い品質で悪評が広く流布してしまったら、ブランドの価値に傷がついてしまう。コピー商品の販売や自社の偽サイトの登場などを、様々な情報から分析した脅威インテリジェンスを得ることで、ブランド毀損につながる動きをいち早く止めるような対応への意思決定が可能になる。
    こうしたインテリジェンスの活用は、欧米では1980年代ごろから一般化していた。Competitive Intelligenceと呼ぶもので、ブランドの競合調査などを退職した国家のインテリジェンス担当官などが先鞭をつけた。日本ではマーケティングの領域に含まれるこうした知見を、欧米ではインテリジェンスとして獲得し、攻める手段として使ってきた。
    企業にとって、守りも攻めも意思決定には多くの情報が必要不可欠である。意思決定のリクワイヤメントに応じて未来を予測する脅威インテリジェンスを得ることで、ブランドや企業そのものを守り、成長戦略を描くことができるのである。
  • 脅威インテリジェンスを活用できる企業文化の必要性

  • しかし、日本ではまだ脅威インテリジェンスの必要性が本格的に認知され、利用が進んでいるとはいえない。その1つの要因として、日本の文化としての性善説の考え方がある。ところがこれは、つながる世界では成立しない。つながる世界では、国内や海外という区切りはなくなり“日本や世界のどこかにある悪意”によって攻撃されるリスクが高まっている。
    攻撃者がターゲットにしたサイトにDDoS攻撃を仕掛ける場合、SNS上でキャンペーン告知などに偽装して、世界中の一般ユーザーを巧妙に自身のDDoS攻撃に組み込み、ターゲットのサイトを機能不全状態に陥らせる攻撃も増加している。こうした「善意を装った悪意」によるサイバー攻撃への対策も、ますます今後重要になってくる。
    そして、つながる世界では攻撃によって生じた結果が、これまでの世界よりもはるかに広く重いものになる。そのリスクを回避するためには、情報が必要だ。しかし、現状の日本では、情報を集める分析官も、組織体制も、残念ながら不足していると感じる。
    一方、海外では、すでに脅威インテリジェンスを本格的に活用し、企業経営において重要な役割を果たすまでになっている。実例を挙げると、銀行・証券・保険などの金融業界やコンシューマ向けのサービスを提供している企業では、脅威インテリジェンスの導入がいち早く進み、企業名やサービス名を悪用した、フィッシングサイトへの対策を講じている。また、製造業の分野でも、企業の顔でもある製品名やサービス名などの知的財産の保護を目的に導入が進められている。脅威インテリジェンスを企業の脆弱性などの調査や通信の保護だけではなく、プロアクティブに自社を守るために利用しているのだ。自社サービスに関する情報の存在と、悪用情報などを24時間365日ノンストップで収集して、サイバー脅威に対してリアルタイムに取り組んでいる。大切な顧客をサイバー脅威から守ることは、ひいては自社のサービスを守ることにつながっており、最終的に、企業が長い時間をかけて築きあげたブランド価値を守ることにもなる。
    日本企業も、企業価値を守るために脅威インテリジェンスを有効活用すべきタイミングに入っていることを強く感じる。国内でも、セキュリティに対して意識の高い企業や予算を持っている企業はすでに脅威インテリジェンスを経営に役立てている。だからこそ、全ての企業経営者はサイバー攻撃対策を経営課題として認識して、強いリーダーシップをもって取り組んでほしい。そして、情報を得ることに対して明確に目的を持ち、さらに情報の入手には相応の投資が必要なことを理解できるだけの企業文化、組織文化が日本でも育っていくことを願って止まない。
  • DDoS攻撃を発生させる一つの手段

    (善意を装い、ターゲットを集中攻撃する手段)

    ●月●日13:00スタート!ここへアクセスして、日本代表を応援しよう!Bigなプレゼントも当たる!|東陽テクニカ セキュリティ&ラボカンパニー【公式】

    「善意を装った悪意」は、外から見ただでけでは分かりづらいケースもある。Darkの世界で共謀する企ての一つとして、情報操作により善意を利用しDDoS攻撃を生むことも十分可能だ。

PDF

サイバーセキュリティ2020最前線《Chapter #02》サイバー脅威に脅威インテリジェンスで備える

ダウンロードはこちらから

1
2

本ウェブサイトではサイト利用の利便性向上のために「クッキー」と呼ばれる技術を使用しています。サイトの閲覧を続行されるには、クッキーの使用に同意いただきますようお願いいたします。詳しくはプライバシーポリシーをご覧ください。