脅威インテリジェンスとは

脅威インテリジェンスのサイバー脅威の側面

従来のサイバーセキュリティのアプローチは、先ほど説明した最初のシナリオによく似ています。ドアに鍵をかけることです。悪者がどのようにネットワークに侵入するかを考え、ファイアウォールを導入し、ネットワーク・リソースをリモートで使用する場合はVPN経由でなければ侵入できないようにしました。エンドユーザー用システムにはアンチマルウェアを導入し、フィッシング詐欺を見分ける方法と回避する方法のトレーニングを開始しました。このように、ホームセキュリティの例と同様に、セキュリティ・インテリジェンスに基づき、各種サイバー脅威に対する防御策を策定し、強化していたのです。

ところが、特定のターゲットに狙いを定めた攻撃が行われるようになりました。この種のサイバー脅威の最近の例としては、2021年に確認されたLog4jの脆弱性が挙げられます。これはフィッシングのような一般的な脅威ではなく、特定のリスクベクトルを持つものでした。もし、あなたのインフラの一部で、広く使われているApache Log4j Java ロギング・ライブラリのバージョン2.17.0以前を実行していたなら(「いた」と過去形を用いたのは、あなたの組織がまだこの問題を解決していない何千もの組織の1 つではないことを願うからです)、あなたの組織は確実にリスクにさらされており、直ちにこの脆弱性を修正しなければなりませんでした。

脅威インテリジェンスの種類

脅威インテリジェンスを4つのタイプに分類することができます。

1. 運用型セキュリティ・インテリジェンス

運用型セキュリティ・インテリジェンスの目標は、具体的な脅威を、組織が現在どのような役割かという文脈の中で理解することです。たとえば、DDoS攻撃を識別する方法を知らなければ、いつ攻撃されるのかを知ることができず、それに対抗するための適切な戦術的対応(DDoS緩和戦略)を行うことができません。

2. 戦術的なセキュリティ・インテリジェンス

戦術的なサイバー脅威とは、近い将来に直面する脅威のことです。戦術的セキュリティ・インテリジェンスは、既存の脅威対策でリスクを検知し、最小化できるかどうかについて、セキュリティ・チームに知見を与えます。戦術的セキュリティ・インテリジェンスの中核は、IOC(indicators of compromise)を特定することです。IOCは、例えば、DDoS攻撃や異常なトラフィック・パターンを検出するためのシグナルです。

3. 戦略的セキュリティ・インテリジェンス

脅威インテリジェンスを必要とするのはセキュリティ・チームだけではありません。経営陣が効果的な意思決定を行うための鍵でもあります。現在のサイバーリスク、脅威の発生源、長期的なサイバー脅威の問題などを理解することで、経営幹部は予算編成、財務・運用リスク評価、技術者の配置、組織戦略などの基礎を得ることができます。

4. テクニカルセキュリティインテリジェンス

サイバー脅威がどのように実行されたかを分析することで、例えば、DDoS攻撃の緩和後に、攻撃のソース、使用されたツール、攻撃の背後にある脅威者の動向とスタイル、今回の攻撃と過去の攻撃の類似性などを調べることができます。これにより、将来の検知と緩和(mitigation)を改善し、コストとダウンタイムを最小化することができます。

サイバー脅威のインテリジェンスの情報源

サイバー脅威インテリジェンスのための情報源は、以下のように区分することができます。

1. ヒューマン・インテリジェンス(HUMINT)

HUMINTは、人間から直接または間接的に収集されるセキュリティ情報で、諜報活動や監視から得られる情報も含まれます。

2. シグナル・インテリジェンス(SIGINT)

SIGINTは、人間(HUMINT)または機械(エレクトロニック・インテリジェンス、ELINT)間のメッセージの傍受から得られる脅威情報です。

3. オープンソースインテリジェンス(OSINT)

ニュース、ソーシャルメディア(SOCINT)、金融(FININT)、共有サイバーセキュリティ情報などあらゆる種類の公的報告書など、一般に入手可能な情報源が含まれます。

4. ファイナンシャルインテリジェンス(FININT)

金銭的なインセンティブは、特定の種類の攻撃を実行するための動機とリソースを知る上で大きな手がかりとなります。資金の在り処と潜在的な攻撃ベクトルを知ることは、攻撃者と潜在的被害者(銀行やその他の伝統的金融機関、暗号取引所など)の双方にとって極めて重要です。

5. マーケットインテリジェンス(MARKINT)

攻撃者と潜在的なターゲットの市場を知ることは、動機だけでなく、彼らが使用する可能性のあるサイバー脅威を理解する上で重要な鍵となります。

セキュリティアナリストがこれらの脅威情報のソースを巧みに組み合わせることで、現在および将来のサイバー脅威の性質、範囲、動機、リスクに関する広範な全体像を把握することができます。

DDoS攻撃とスレットインテリジェンス

今日、最も一般的なサイバー脅威は、DDoS攻撃によるものです。様々な手法を用いることで、脅威者は様々なソースからの偽のトラフィックをオンラインターゲットに誘導し、WebサーバやWebアプリケーションのレスポンスを低下させるほどのリクエストをターゲットに殺到させることができます。最悪の場合、DDoS攻撃はオンラインサービスを完全に停止させるだけでなく、並行して行われる他のサイバー脅威の隠れ蓑にもなり得ます。

現在の地政学的・社会政治的な状況は、脅威の担い手にとって、あらゆる種類の攻撃やキャンペーン、特にDDoS攻撃を仕掛ける機会だけでなく、その理由も与えてしまっています。この半年間、脅威者は、政治(ロシアのウクライナ戦争がその例です)、宗教、さらにはスポーツなどの問題によって、国、政府機関、医療、銀行、社会団体、著名な個人を標的にしてきました。

DDoS攻撃の最大の発生源はボットネットで、PC、ルーター、IPカメラなど、脅威の主体に代わって同時に行動するよう悪用されたマシンの非常に多くの集まりです。これらのボットネットは、膨大な量のリクエストを生成することができます。ここ数年、脅威者はボットネットの規模を拡大し、攻撃は数分から数日にわたって継続することが頻繁に確認されています。攻撃は、数十万から数百万のエンドポイントから行われ、1秒あたり数千万リクエスト、または1秒あたりテラビット単位で計測されます。このため、DDoS攻撃の緩和は非常に困難で複雑になっています。

A10のソリューション：DDoS脅威インテリジェンスと対策ソリューション

21世紀にコンピュータネットワークの世界で生き残り、成功するためには、直面しているサイバー脅威の種類を理解する必要がありますが、DDoS攻撃ほど、デジタルリソースにとって危険なものはありません。A10の「DDoS攻撃ツールへのインテリジェンスが必要な3つの理由」では、お客様が直面している問題とDDoS防御のために必要なことを説明しています。

DDoS緩和におけるA10の市場をリードする専門知識は、脅威の担い手、その動機、ツールに関する独自の調査と理解から生まれたものです。A10のDDoS脅威インテリジェンスと2022年DDoS攻撃レポートは、誰が、どのように、そしてなぜ攻撃しているのかについての洞察を提供します。新しいDDoS攻撃ツールのインテリジェンスマップは、現在のDDoS脅威環境に関する比類ない洞察を提供します。

DDoSの検知と緩和を求める通信サービスプロバイダーやデータセンター、コロケーションプロバイダー向けに、インテリジェントで自動化されたA10のDDoS対策ソリューションA10 Defend Suite、集中管理システムA10 aGalaxy®が提供されています。