%{FACEBOOKSCRIPT}%
  1. HOME
  2. サイバーセキュリティお役立ち情報
  3. 記事一覧
  4. 【ブログ】脅威インテリジェンスにおけるダークウェブ・モニタリングの重要性(10/15)

【ブログ】脅威インテリジェンスにおけるダークウェブ・モニタリングの重要性(10/15)

  • LINEで送る
  • このエントリーをはてなブックマークに追加
【ブログ】脅威インテリジェンスにおけるダークウェブ・モニタリングの重要性(10/15)

サイバー脅威インテリジェンスサービスCognyteは、ダークウェブTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。

 Cognyte CTI Research Group@Cognyte | 2024年10月

 

インターネットの広大な領域には、ダークウェブとして知られる隠れた領域があります。多くの場合、ダークウェブは、潜在的な脅威から保護するためにサイバーセキュリティ専門家が監視する重要な領域です。
このブログ記事では、ダークウェブ監視の重要性、それが堅牢なサイバーセキュリティ体制の重要なコンポーネントである理由について説明します。
(Cognyte社のブログ"The Importance of Dark Web Monitoring for Threat Intelligence "を翻案したものです)

関連記事:5分程度で読める!ダークウェブとは何か

記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

 

Webの複雑性を理解する

インターネットは、サーフェスウェブ、ディープウェブ、ダークウェブの3つの主要な層に分けることができます。

サーフェスウェブ

これは、誰もがアクセスでき、Googleなどの標準的な検索エンジンによってインデックス化された、クリアウェブ、パブリックウェブとも呼ばれるインターネットの表層です。サーフェスウェブにはWebサイト、ソーシャルメディアプラットフォーム、その他の公開コンテンツが含まれます。

ディープウェブ

サーフェスウェブの下にはディープウェブがあり、検索エンジンによってインデックス化されていないコンテンツで構成されています。プライベートデータベース、学術雑誌、サブスクリプションベースのサービスなどを含むウェブ全体の約96%を占めています。本質的に悪意があるわけではありませんが、ディープウェブには簡単にアクセスできない情報が豊富に含まれています。

ほとんどのメッセージングプラットフォームは、技術的にはディープウェブの一部です。特にTelegramは、ダークウェブの匿名性を提供しながら、使いやすいため、サイバー犯罪者の間でますます人気が高まっています。このようなプラットフォームをプライベートウェブと称することもあります。

ダークウェブ

ダークウェブは、アクセスするためにTORなどの特定のブラウザを必要とするディープウェブの小さな部分です。意図的に隠されており、匿名の通信や取引に使用されることがよくあります。ダークウェブは、サイバー犯罪などの違法行為をホストすることで有名ですが、プライバシーを意識する個人や内部告発者のためのスペースも提供しています。

インターネットのレイヤー 出典:Cognyte

 

 

なぜサイバー犯罪者はダークウェブが好きなのか

ダークウェブの特徴は、その匿名性と暗号化された性質です。ユーザーは自分の身元を明かさずに通信や取引ができるため、正当なプライバシーを求める人だけでなく、サイバー犯罪者やテロリストなどの悪者にとっても避難所となっています。主な特徴は以下の通りです。

  • 匿名性:ユーザーは匿名のままでいられるため行動を秘匿しやすく、一方捜査機関等にとってはユーザーの行動を追跡することが難しい。
  • 暗号化:通信と取引が暗号化されるため、セキュリティが強化される。
  • 分散化:ダークウェブは分散化されているため、中央で制御する機関が存在しない。
【脅威動向2023】サイバー犯罪の中心がダークウェブからTelegramへ移行中で述べたように、近年、Telegramは脅威アクターにとって主要な基盤となっています。サイバー犯罪者などの脅威アクターの間でTelegramの人気が高いのは、エンドツーエンドの暗号化、匿名性、使いやすさ、オープンAPI、ボット機能などのユニークな機能の組み合わせが要因です。加えて、プラットフォームのポリシー・規制が厳しくないという点も、脅威アクターを引き付ける重要な機能でした。
注目すべきは、Telegramが法執行機関との情報共有を開始するという最近の報道(外部リンク)にもかかわらず、本ブログの公開時点では、脅威アクターがTelegramプラットフォームから大量に移動した様子は見られていないことです。これは主に、その利便性と広範な利用が理由です。

   

 

ダークウェブでよくみられるサイバー犯罪

ダークウェブはさまざまなサイバー犯罪の温床であり、最も一般的なものは次のとおりです。

  • 窃取された個人情報 (PII) の取引:サイバー犯罪者は、社会保障番号、住所、生年月日などの盗まれたPIIを取引します。これは、ID窃盗や詐欺に使用される可能性があります。クレジットカードデータなどの盗まれた金融関連情報は、個人や企業にとって重大な金銭的損失につながる可能性があります。
  • アクセス資格情報(クレデンシャル)の取引:アクセス資格情報は多くの場合、ダークウェブのマーケットプレースで販売され、ネットワークやシステムへの不正アクセスを取得するための最初のアクセスベクターとして頻繁に使用されます。
  • 漏洩データの取引:企業や政府からの機密データは、多くの場合、ダークウェブに移動し、販売または漏洩されます。
  • 攻撃ツールとビジネスモデルの販売と取引:マルウェアランサムウェアキット、エクスプロイトフレームワークなどの攻撃ツールが販売され、取引されています。多くの場合、Ransomware-as-a-Service (RaaS) やMalware-as-a-Service (MaaS) などのビジネスモデルが使用されています。

 最近公開されたデータ漏洩 出典:Cognyte Luminar

 

 

ダークウェブの主要プラットフォーム

ダークウェブは、違法行為が行われるさまざまなプラットフォームをホストしています。エクスプロイト、ハッキングツール、マルウェアについての議論が行われ、販売されているフォーラムやマーケットプレイスがこのようなプラットフォームに含まれます。

  • フォーラム:ダークウェブのフォーラムは、ユーザーが情報を共有したり、商品を取引したり、サイバー犯罪活動に協力したりするために相互に通信できるディスカッション掲示板です。たとえば、最も人気のあるダークウェブのフォーラムの2つは、ロシアを拠点とするサイバー犯罪とハッキング関連のフォーラムです。これらは、マルウェアやエクスプロイトなどのハッキングに関連する違法なデジタル商品の取引基盤として使用されることがよくあります。フォーラムは多くの場合、組織への初期アクセスを提供し、データベースや最高入札者への非理論的なアクセスなどの情報を販売します。
  • マーケットプレイス:違法な商品やサービスが売買されるオンラインショップです。 たとえば、一部のブログは、盗まれた「ログ」(インフォスティーラーによって収集されたレコード)、クレジットカード情報、PII (個人を特定できる情報)、その他の違法な商品の販売に特化していることが知られています。

 

 

ダークウェブ・モニタリングの重要性

脅威インテリジェンスは、潜在的および既存のサイバー脅威に関する情報を収集、分析、および適用するプロセスです。この情報は、組織が脅威の状況を理解し、潜在的な攻撃を予測し、それらから防御するための事前対策を講じるのに役立ちます。

ダークウェブの監視は、ダークウェブ上で行われるアクティビティに基づき、潜在的なサイバー脅威に関する早期の警告を提供する点において、脅威インテリジェンスの重要なコンポーネントです。ダークウェブは、盗まれたデータ、ハッキングツール、その他の悪意のあるサービスの販売など、さまざまな違法行為の温床となっています。これらのアンダーグラウンド市場やフォーラムを監視することで、組織は悪用される前に新たな脅威や脆弱性を特定できます。
プロアクティブなアプローチにより、セキュリティチームは必要な防御の実装、脆弱性の修正、リスクの軽減を行うことができ、それによってサイバー攻撃が成功する可能性を減らすことができます。

さらに、ダークウェブの監視は、サイバー犯罪者が使用する戦術、手法、手順 (TTP) を理解するのに役立ちます。ダークウェブプラットフォーム上のディスカッションとトランザクションを分析することで、脅威インテリジェンスチームは、悪意のあるアクターによって使用される最新の攻撃ベクターと戦略についての洞察を得ることができます。この情報は、堅牢なセキュリティ対策を開発し、サイバー脅威を先取りするために非常に重要です。

本質的に、ダークウェブの監視は、組織の防御機能を強化するだけでなく、より包括的で情報に基づいた脅威インテリジェンス戦略にも貢献します。

 

 

Cognyte Luminarを活用した脅威インテリジェンス

CognyteLUMINARは、幅広いダークウェブソースを含む、ウェブのすべてのレイヤーにわたる多様なソースからデータを収集することで、組織が脅威の状況を可視化し続けることを可能にします。LUMINARは、ダークウェブデータを継続的に監視、処理、分析、相関付け、強化することで、組織の外部脅威の状況をリアルタイムで正確に把握することができます。 

たとえば、LUMINAR脅威アクタープロファイリングモジュールは、さまざまなソースから特定の脅威アクターに関連するすべての調査結果を収集し、それらを集約して、アクターの活動全体を分析し、重要な情報と洞察を提供します。

脅威アクタープロファイリング 出典:Cognyte Luminar

LUMINARは、動的かつ自動の監視プロセスを使用して、AIによって生成された洞察やアラート、潜在的なサイバー脅威に関する重要なリスクスコアリングなどの早期警告を提供します。LUMINARのポータルを使用すると、ユーザーはリアルタイムで脅威に対処するために事前に通知を受けることができます。

LUMINARは、組織に関連するアラートと洞察をユーザーフレンドリなUIで表示します。また、生成AIリスクスコアリングとラベル付け機能を実装して、自動的に検出されたパターンや異常に基づいて、アナリストが脅威軽減の優先順位を設定できるようにします。LUMINARの高度な生成AI機能は、フォールスポジティブ検出、脅威の優先順位付け、自動分類など、脅威の露出管理を最適化するように設計されています。
これらの機能は、データの過負荷やタスクの優先順位付けなどの重要な課題に対処することを目的としており、ますます複雑化するセキュリティ環境で脅威の露出を効率的に管理するために必要なツールを組織に提供します。

生成AI機能は、ダークウェブ監視の有効性を大幅に向上させることができます。2024年のGartner ® Emerging Tech:The Future of Cyberthreat Intelligence Researchでは、Luminarの生成AI機能が評価されました。

生成AIを搭載したLuminar 出典:Cognyte Luminar

ダークウェブの監視は、潜在的な脅威が重大な被害を引き起こす前に特定し、軽減するために不可欠です。ウェブのさまざまな層、ダークウェブで蔓延しているサイバー犯罪の種類、これらの活動が行われるプラットフォームを効果的に監視することで、サイバーセキュリティの専門家は、インターネットの影に潜む危険から個人や組織をより効果的に保護することができます。

 

 

まとめ

ダークウェブに係るインテリジェンスを活用することで、組織は新たな脅威から資産を積極的に防御し、サイバーリスクにさらされるリスクを最小限に抑えることができます。組織がLUMINARサイバー脅威インテリジェンスを活用する方法については、以下のバナーをクリックください


記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

  • LINEで送る
  • このエントリーをはてなブックマークに追加