やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

脅威インテリジェンス

多様化するサイバー攻撃

サイバー攻撃を大別すると以下のようになります。

サイバー犯罪

グループによる犯罪で、主に金銭の奪取を目的とするものです。

ランサムウェアや不正送金させるマルウェアなどの攻撃があります。

www.aolaniengineer.com

サイバースパイ

国家や組織レベルによる犯罪で、国益や政治的な利益を目的とします。

APTやソーシャルエンジニアリングなどの諜報活動などがあります。

APT(Advanced Persistent Threats)

持続的標的型攻撃。特定の組織や個人を狙って、様々な手段で継続的に行われるサイバー攻撃。

ソーシャルエンジニアリング

攻撃対象の管理者や利用者などから会話の盗み聞きや、パソコン画面の盗み見など、システム的な技術ではなく、社会的な手段によって秘密情報を入手すること。

ハクティビズム

ハクティビストによる攻撃で、政治的・社会的な主義主張によるもの。DDoS攻撃やWebサイト改ざんなどの攻撃がある。

ハクティビスト

社会的・政治的な主張を目的として、サイバー犯罪を行う者。

DDoS攻撃

www.aolaniengineer.com

これらのサイバー攻撃の脅威の情報は、脅威インテリジェンスというサービスとして、セキュリティベンダーより提供されます。

脅威インテリジェンス

脅威インテリジェンスとは、攻撃者の目的や能力、設備などに関する情報を収集・分析し整理して、有益な情報として提供されるものです。

脅威インテリジェンスを利用することで、組織単独で実施していた従来のセキュリティ対策で見逃されていた高度なサイバー攻撃を検知し、防御することが可能となります。

脅威インテリジェンス

脅威インテリジェンスは、以下のような内容で提供されます。

分析レポート

サイバー攻撃を目的・用途別に整理した報告書で、レポートの種類には以下のようなものがあります。

攻撃者プロファイル
マルウェア解析レポート
国・業界・地域の動向

インディケータ

攻撃者や攻撃手法などを特定するために使う情報で、以下のようなものがあります。

ハッシュ値
ファイル名
IPアドレス
ドメイン
URL
レジストリ

脅威インテリジェンスの活用

検知フェーズ

プロキシサーバ、IDS/IPS、UTM、ファイアウォールなどセキュリティ製品では、検知した通信に相当するマルウェアについて、危険度や影響範囲などはわかりません。

その場合に脅威インテリジェンスを活用して、攻撃の具体的な内容や影響範囲を特定して、対応の優先順位などを決定することができます。

予防フェーズ

現在や将来に渡り想定される脅威や過去のインシデントなどから脅威インテリジェンスを活用して、セキュリティ製品に必要な対処を施すことで、サイバー攻撃による情報漏洩などに未然に対処できるようになります。