サイバー攻撃の手口を対策に活かす

昨今、サイバー攻撃による被害が頻繁に発生し、ニュースなどでもよく目にするようになってきています。また、サイバー攻撃の手口自体が非常に高度化・巧妙化しているために、企業のセキュリティ対策が非常に複雑になっています。
攻撃者のプロフィールは、個人レベルから犯罪グループや国家レベルまで非常に多岐に渡っています。攻撃者は様々な手法を駆使することによって、システム停止や重要情報の搾取といった甚大な被害を企業に与えています。本コラムでは攻撃者の手口を明らかにすることにより、企業として取るべき対策の強化について考察します。

１． InformationとIntelligence

サイバーセキュリティの分野では、「情報」という言葉に対して「インフォメーション（Information）」と「インテリジェンス（Intelligence）」の２つを使い分ける場面が多くなっています。インフォメーションとは加工していない「生の情報」であり、ログやエラーデータなどが該当します。インテリジェンスとは「加工された情報」であり、インフォメーションを加工・分析・評価したアウトプットを示します。言い換えると、信憑性を吟味した上で解釈を施したインフォメーションがインテリジェンスに相当します。

図1.　インフォーメーションとインテリジェンス

また、インテリジェンスという言葉は「諜報」という意味合いもあり、スパイ映画さながらに、普通には入手できない様々なインフォメーションを取捨選択し、インテリジェンスの信憑性を高める活動とも捉えることができます。実際、脅威インテリジェンスのソリューション・プロバイダーには、米国、英国、イスラエルの諜報機関出身者が多数在籍しています。彼らは、特殊な情報源の活用と培った高度な分析能力を駆使し、信憑性の高い脅威インテリジェンスを提供しています。
国家レベルでの関与が疑われるサイバーセキュリティは、ITやセキュリティの有識者がログ分析するだけに留まらず、諜報レベルの脅威インテリジェンスを活用することが必要不可欠です。脅威インテリジェンスから攻撃者の手口が明らかになり、企業のセキュリティ対策に有効なフィードバックを得ることができます。

２．サイバー脅威情報（Cyber-Threat Information）の活用

信憑性のある多数のサイバー脅威情報を収集し、加工・評価・分析することにより、サイバー脅威の認識、評価、モニタリングおよび対処に役立てることができます。一般的に、サイバー脅威情報は、次の４種類に分類されます。
　１） セキュリティ侵害インジケーター(Indicator of Compromise)
サーバーやネットワークへの侵入が疑われる痕跡を見つけ、サイバー攻撃が差し迫っているか、進行中であるかを検出できます。例えば、ネットワークの異常な通信、不明なファイルやアプリケーションの存在、管理者アカウントによる不正操作などがセキュリティ侵害インジケーターに該当します。これらは、ログやエラーデータなどから検知することができます。
このセキュリティ侵害インジケーターについては、ログ分析あるいはしきい値超過のアラート通知などを利用して、既に多くの企業が運用しています。
　２） 脆弱性情報
脆弱性情報、セキュリティ上の脅威など最新のセキュリティ情報をJVN（Japan Vulnerability Notes）などが公開している脆弱性情報データベースから入手します。脆弱性情報は、共通脆弱性識別子CVE（Common Vulnerability and Exposures）番号を割り当てられ、グローバルな管理が行われています。
セキュリティパッチが公開される都度、システムに適用する運用は、脆弱性対応として広く普及しています。
　３） TTPs（Tactics, techniques, and procedures）
TTPsは、実際のサイバー攻撃を調査し、サイバー攻撃の活動を戦術（Tactics）、技術（Techniques）、および手順（Procedures）の３つのカテゴリーで整理、体系化したフレームワークです。TTPsを活用することにより、攻撃者が利用するマルウェアの種類、攻撃に伴う一連の作業の順序、攻撃ツールや手法を知ることができます。
　４） 脅威インテリジェンス
脅威インテリジェンスは、特殊な情報源および高度な分析に基づき、攻撃者のプロフィールや攻撃対象にあがっているシステムなど脅威に関わるインテリジェンスを提供します。

３）TTPs、４）脅威インテリジェンスは、攻撃者の手口を把握するために非常に有益ですが、一部の先進的企業がようやく利用し始めた段階です。以降、TTPs、脅威インテリジェンスの有効性について検討します。

３．TTPs

MITRE社が、「MITRE ATT&CK」としてサイバー攻撃の流れと手法を体系化したフレームワークとしてTTPsをまとめています。MITRE社は米国政府の支援を受けた非営利団体で、国の安全性、安定性に関する事項に取り組んでおり、サイバーセキュリティは対象分野のひとつとなっています。
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)は、実際のサイバー攻撃シナリオをベースに、サイバー攻撃の戦術、技術、および手順をサイバー攻撃のライフサイクル別に体系化しナレッジベースとしています。攻撃者が実際に使う戦術や技術を整理しているため、企業のセキュリティ対策をより一層具体的に検討するための有効なフレームワークとして位置づけられます。
MITRE ATT&CKは、サイバー攻撃のライフサイクル別に14の戦術でカテゴライズしています。攻撃者は、各戦術にて細分化している技術および手順を駆使して攻撃を仕掛けてきます。ある戦術を達成すると、攻撃者は次の戦術に進みます。例えば、管理者権限への昇格を達成すると、次の戦術である防衛回避のために、セキュリティツールの無効化等を試行します。
表１に14の戦術とそれに対応する技術項目数をまとめています。さらに、それぞれの技術に対して、具体的な手順までブレークダウンされた形式で体系化されています。

表１．　MITRE ATT&CKの戦術と技術の項目数

「MITRE ATT&CK」で体系化しているサイバー攻撃のライフサイクルを理解することにより、サイバー攻撃を検知時の対応策の検討や、防御策の適用を迅速に行うことができます。

４．脅威インテリジェンス

脅威インテリジェンスでは、サイバー攻撃のリスクがどの程度存在するのか、攻撃者のインフォメーションを収集・分析し、攻撃者の観点からのセキュリティパフォーマンスの可視化を実現します。脅威インテリジェンスにてサイバー攻撃の予兆を把握し、事前に防御策を手当てすることができます。
脅威インテリジェンスは、インフォメーションの「収集」と「分析」の２つのプロセスで構成されます。「収集」は、通常のWebサイト（サーフェイスWeb）だけでなく、ダークWebなどからも収集する必要があります。ダークWebは、検索エンジンで見つけることができず、かつWebブラウザーでは閲覧できません。そのため、犯罪者同士の会話や、漏洩した個人情報の売買に関する話題が飛び交い、サイバー攻撃や犯罪の温床になっています。このダークWebへのアクセスは危険性が伴うため、専門的なスキルが要求されます。

図2.　脅威インテリジェンスプラットフォーム

「分析」においては、AIによる分析や専門アナリストによる分析など様々な手法が用いられます。脅威インテリジェンスは、様々なソリューション・プロバイダーが提供しており、「収集」するインフォメーションの豊富さ、「分析」する手法の違いなどで差別化を図っています。
現在利用できる脅威インテリジェンスのソリューションは、大きく３つに大別されます。１つめは、オープンソースのツールを利用し、「収集」、「分析」を企業自らが実施するソリューションです。このケースは企業内に相応の知見を持つ有識者を抱える必要があり、現実的にはセキュリティ専門会社が脅威インテリジェンス分析の補助ツールとして利用することが大半です。
２つめは、企業が使いこなすことを前提に、インフォメーションの自動収集、AIによる自動分析、操作性に優れたユーザーインターフェースを提供するソリューションです。手軽に利用できるため、年度毎のセキュリティ活動計画の立案時のリスクアセスメントツールとしての利用が考えられます。
３つめは、ダークWebの情報を含む多数の情報源を利用し、攻撃者の調査・分析にフォーカスしたソリューションです。アナリストによる高度な分析により、脅威インテリジェンスのレポーティングを行います。情報源の豊富さ、アナリストによる個別分析のため、様々なリクエスに対応することが可能です。

５．まとめ

従来、サイバー攻撃は「見えない敵と戦う」ことに主眼が置かれており、攻撃者と企業の一進一退の攻防が続いていました。しかしながら、TTPsや脅威インテリジェンスの登場により、今後は「見える敵と戦う」方向にシフトしていくと考えられます。その結果、再現なくセキュリティ投資を続けるのではなく、脅威に対して適切なセキュリティ投資を行えると将来像を予想しています。

執筆者　桐生健一
株式会社Dirbato
コンサルティンググループ　シニアマネージャー
DXセキュリティ・ポリシーの策定、インシデント・レスポンス初動対応支援および再発防止策立案、セキュリティレーティングサービスの事業化検討等をセキュリティ全般を担当。金融を中心として製造／製薬／通信業界等のクライアントを経験。
趣味はナチュラル・ワイン。