脅威インテリジェンスアナリストの役割

侵害の兆候 (IoC) や脅威インテリジェンスのフィードから、本格的な調査・脅威研究を実行するチームの構築にいたるまで、 サイバー脅威インテリジェンス(CTI)は組織の様々な側面で重要な役割を果たしています。そして、脅威インテリジェンスアナリストはCTIチームが十分な情報に基づいて意思決定を行ったり、組織のセキュリティ体制を効果的に強化・改善する際に活用できる実用的な知見を提供しています。

脅威インテリジェンスアナリストがいない組織の場合、能動的な方法でインシデントを阻止ために必要な情報が得られず、問題が起こるたび事後対応に追われるという事態が多々発生します。しかし、実用的なインテリジェンスを導入することで、サイバー攻撃に対するレジリエンシーをより簡単に強化することが可能となるのです。

脅威インテリジェンスアナリストの役割とは?

脅威インテリジェンスアナリストは、自組織を標的とする外部の脅威を検証・分析する業務を担当します。具体的には、サイバー犯罪フォーラムやランサムウェアブログ、自動売買ショップ、ボットマーケットプレイス、データベースダンプ、Telegram チャンネルなどのサイバー犯罪情勢を監視し、ダークウェブで漏えい・販売されている機密データを検索し、オープンウェブやディープウェブ、ダークウェブのソースから収集した情報を相関させて脅威データを分析し、「生の情報」を様々なセキュリティチームが利用できる「推奨策」に変換します。

また、能動的に脅威を調査し、サイバー攻撃に発展する前にリスクを特定したり、従業員が取るべき対応を理解できるよう、セキュリティ意識の向上業務を担当することもあります。企業に勤務している上級レベルの脅威インテリジェンス専門家であれば、戦術・技術・手順(TTP)に関する深い知識を活用して、脅威アクターのプロファイリングを行う場合もあるでしょう。そうした諸々の業務に忙殺され、ランチタイムを削る日もあるかもしれません。

脅威インテリジェンスアナリストに必要なスキルとは?

アナリストは、入手した情報がもたらす影響を理解する必要があるため、サイバーセキュリティに関する一般的な知識が必要となります。脅威インテリジェンスアナリストの多くは、バックグラウンドとしてコンピュータサイエンスや情報セキュリティ、ネットワークエンジニアリングの知識を持っていますが、この職につくための道筋は1つではありません。繰り返しになりますが重要なポイントは、アナリストは入手した情報がもたらす影響を理解する必要があるということ、そしてそのためには、ITやサイバーセキュリティに関する確固たる知識や経歴を持っている必要があるということです。

一般の人は、サイバー犯罪者が自分の電子メールアカウントのパスワードを窃取したと聞けば、「大学時代のルームメイトが毎月送ってくるメールをハッカーに盗み読みされてしまうかも」という程度の懸念を持つかもしれません。しかし、熟練した脅威インテリジェンスアナリストは、窃取されたパスワードがネットワークへの不正アクセスに利用され、その後は横移動やランサムウェア攻撃、APTによる攻撃など、高度なサイバー攻撃の発端となりうることを認識しています。技術的なバックグラウンドを持ち、脅威の影響や緩和策を理解している人であれば、たとえ有効期限が切れた過去のパスワードでもソーシャルエンジニアリング攻撃やフィッシング詐欺と併用することにより、現在皆さんが使用しているアカウントに不正アクセスする手段として悪用できることを認識しているからです(例えば、現在のパスワードを忘れた場合、過去のパスワードを本人確認に使用できるサービスもあります)。つまり、窃取されたパスワードの有効期限が切れた場合でも、リスクがなくなるわけでないのです。

サイバーセキュリティのバックグラウンド以外にも、脅威インテリジェンスアナリストには以下の資質が求められます。

  • 分析的思考とコミュニケーション:多数のソースから得られる膨大な量の技術データを処理し、理解する能力。また、技術に詳しくない関係者にもビジネス用語で調査結果を伝えられる能力。
  • セキュリティ分野に関する知識:特にデータ損失防止、ネットワーク、エンドポイントセキュリティやEDRに関する知識。また、プライバシーやコンプライアンスに関する一般的な知識も必須となります。
  • サイバー情勢の認識:地域レベルや世界レベルで各業界固有のトレンドや、地政学的なトレンドの変化を理解する能力。なお、高機能なプラットフォームもサイバー情勢に関する情報をリアルタイムに提供しています。また該当する情報が削除された後でも、履歴データを確認することができるようになっています。

脅威インテリジェンスアナリストが実社会に与える影響

脅威インテリジェンスアナリストは、組織や業界、コミュニティが安全を確保し、攻撃者に対してレジリエントな体制を維持できるよう日々の業務を通じてサポートしています。以下に、脅威インテリジェンスを活用した業務の実例をご紹介します。

ランサムウェア攻撃の阻止

以前、米国の某学区のドメインに関連したアカウント情報が侵害され、アンダーグラウンドのマーケットで売り出されるというインシデントが発生しました。18万人の生徒を擁する同学区は、KELAのアナリストの支援を受けて侵害の事実を早期段階で検知し、ボットの情報をテイクダウンして、ランサムウェア攻撃に発展する事態を回避しました。

攻撃者の標的になる事態は避けられなくとも、リアルタイムな脅威インテリジェンスで大きな違いをうみだすことはできます。また、脅威インテリジェンスプラットフォームとActive Directoryを連携している某企業は、自社に紐づいたパスワードを含む情報を情報窃取マルウェアに窃取され、漏えいされた際、そのパスワードの有効性を速やかに検証し、強制リセットをかけてリスクを軽減することに成功しました。

コンプライアンスを順守しながらサードパーティリスクを緩和

脅威インテリジェンスアナリストが直面している課題の1つとして、プライバシーやコンプライアンスに関する要件の順守と、サードパーティリスク管理(TPRM)の両立が挙げられます。今日の複雑なサプライチェーンにおいては、攻撃者は(サプライヤー企業の)1社を足掛かりにして多数の顧客企業を侵害することが可能となっているため、アナリストはサプライチェーンで増大しているリスクを注視する必要があります。そしてこの課題については、KELAをはじめとするプロバイダーが提供している脅威インテリジェンスプラットフォームのパッシブスキャンを活用し、AIを活用した予測リスクスコアをベンダー毎にチェックして対応することができます。この機能により、アナリストは保護すべき情報を開示することなく、脅威のレベルを把握することが可能となっています。

詐欺の防止

 脅威インテリジェンスアナリストは、アンダーグラウンドのサイバー犯罪フォーラムやTelegram チャンネル、その他ディープダークウェブ上のソースを監視して組織の資産に関する情報をチェックし、攻撃に発展する前にその影響を緩和できるようサポートしています。過去には、アナリストが米国の法執行機関の情報を監視する中で、警察官が署名した小切手の画像を発見するという事例がありました。その後、この小切手は(持ち主の)警察官が地元で投函した郵便ポストから窃取されたものであることが判明しましたが、そこには警察官の銀行口座の詳細情報が記載されていました。このような小切手が脅威アクターの手に渡った場合、口座から金銭を引き出されたり、署名を偽造されたり、他の脅威アクターに販売される可能性があります。

またこのインシデントの特定は、小切手を悪用されるリスクを軽減するのみならず、次のアクションにつながりました。米国郵政公社が市民に対し、郵便ポストへの投函に関する警告を発出したのです。脅威が発見されたからこそ、さらなる被害を防ぐべく警告を出すにいたったこのインシデントは、脅威インテリジェンスが幅広い公共の利益のためにも活用できることを示しています。その年は、多くのおばあちゃんが郵便ポストで発生した盗難を警戒し、孫に郵送するクリスマスカードに現金を入れるのをやめたことでしょう。

攻撃中のインシデント対応

また日本の某金融サービス企業は、同社のクレジットカード番号(約3万件分)がTelegram上で売り出された際、KELAの脅威インテリジェンスサービスを活用して、売り出されたクレジットカードの番号を正確に特定することにより、詐欺被害を未然に防ぐことができました。この時売り出されていたクレジットカード番号のうち、188件は有効なカードのものであり、悪用された場合の損失は推定約75万ドル超に上りました。

その一方で、KELAの顧客である某通信会社がアカウント情報を侵害され、そのアカウント情報を含むボットファイルを入手しようとしたときには、ファイルがマーケットから削除されていたということもありました。これは、そのファイルがサイバー犯罪者に買い取られてしまった可能性があることを意味しています。しかし、KELA はその会社の脅威インテリジェンス アナリストと協力し、マルウェアが保持していたURL情報や関連する WordPress アカウントをもとに、(感染端末ユーザーの)LinkedIn プロフィールにたどり着き、そのユーザーが通信会社の元従業員であることを特定しました。その後同社は、この元従業員の資格情報を無効にすることで脅威を軽減しつつ、能動的な監視活動を継続して防御を強化しました。

脅威インテリジェンスアナリストが直面する課題とは?

 脅威インテリジェンスアナリストとして働く場合、関与する業務は多数あります。また脅威インテリジェンスを担当するチームは、常に大量の情報を処理し、ノイズと実用的なインテリジェンスをよりわけることに苦心しています。

脅威は常に進化しており、また政府が脅威アクターを取り締まり、重い罰則や長い懲役刑を科すようになっている状況を背景に、攻撃者は検出を回避するべくTTP を定期的に変えています。アンダーグラウンドでは、ランサムウェア・アズ・ア・サービス(RaaS)や、クラウドを活用したログの販売、サブスクリプション料金で利用可能なサイバー犯罪者用プラットフォームなど、サイバー犯罪者向けのサービスが商品化され、新たなビジネスモデルが普及しています。そしてそれにともない、脅威インテリジェンスアナリストの業務範囲も常に拡大しています。またアナリストは、サイバー犯罪者が生み出した新たなビジネスに加え、組織が攻撃を受けるシチュエーションの変化も理解しておく必要があります。どのような情報が知的財産と見なされるのか、ソーシャルエンジニアリング攻撃はどこで発生するのか、AIでサイバー犯罪者との攻防がどのように変化するのかなどの質問に答える必要があるからです。

サイバー犯罪がますます高度化する一方で、ほとんどの組織は対応すべき重要なタスクを多数抱え、限られたリソースで業務をこなしています。そして、アナリストは限られたリソースで最大限の効果を発揮できるようにするために、リソースの最適な配置を判断しています。また、結果を出すには関係者間の協力が不可欠ですが、全員の認識を一致させ、技術チームと経営幹部レベルの意思決定者にあるギャップを埋めることが困難な時もあります。

KELAのインテリジェンスオペレーションで脅威インテリジェンスアナリストの作業を効率化

KELAのインテリジェンスオペレーション部門は、サイバーインテリジェンスの専門家で構成されており、お客様独自のニーズや課題に応じた包括的なサポートを提供して、サイバー領域の安全確保と業務の最適化を支援しています。

最新のテクノロジーと豊富な実績を持つKELAのチームが、組織を補完する「拡張部門」として機能し、皆様が新たな脅威に先回りして、複雑なサイバー空間に確固たる姿勢で対峙するために必要なツールや知見、戦略をご提供します。

無料トライアルで、KELAの能動的&リアルタイムな脅威インテリジェンスプラットフォームを体験してください。