ダークウェブスキャンの 7 つのベストプラクティス

Google で検索するときと同じように、検索エンジンに会社の名前を入力してクエリを実行するだけで簡単にダークウェブをスキャンして、自社に影響する脅威に関する結果をすべて表示できれば、セキュリティ侵害につながるリスクを軽減できるでしょう。

しかし残念ながら、サイバー攻撃にプロアクティブに対応しなければならない企業が直面しているのは、正反対の現実です。脅威の検索に利用できる Google や検索インデックスが存在しないだけでありません。ダークウェブのコンテンツのインデックスを作成しようしても、ダークウェブは常に変化しているため、その試みは失敗します。脅威アクターは、フォーラム間を常に移動しています。コンテンツを投稿し、数時間後にはそのコンテンツを削除します。デジタルアイデンティティを 1 日に何度も変えることもあります。

このような多くの理由から、ダークウェブをスキャンすることはもちろん、何をスキャンするかを定義するだけでも、大きな困難に直面します。

しかし、困難であることを理由に、ダークウェブに潜在する脅威を無視して良いわけではありません。ダークウェブには重要な情報の宝庫であり、企業が自社の IT 資産を標的にする脅威アクターや攻撃手法を知るために役立つ多くの手掛かりが隠れています。Forbes が指摘しているように、ダークウェブスキャンは、「有用な脅威インテリジェンスを手に入れ、潜在的な攻撃を警戒するために役立つ」極めて重要な手段です。

そこで問題となるのは、ダークウェブスキャンをいかに効果的に実行するかということです。簡単な答えはありませんが、いくつかの効果的な手法を同時に採用すれば、ダークウェブに潜む自社との関連性の高い脅威情報を特定し、サイバー防衛戦略に組み込むことができます。

以下に、これらの手法を紹介し、ダークウェブスキャンにおいてこれらの手法が果たす役割を説明します。

1. ダークウェブスキャンを自動化する

最も重要なのは、ダークウェブのスキャンと監視を自動化することです。ダークウェブの情報はあまりにも膨大であり、常に変動しているため、手動で分析しても、有用な結果を手に入れることはできません。

例えば、脅威アクターが新しい秘密の Telegram チャンネルへのリンクを既存の Telegram チャンネルで共有し、その秘密のチャンネルを 1 時間後に削除したとします。この場合、この Telegram チャンネルを手動で見つけることが困難であるだけでなく、秘密のリンクが生きているわずかな時間にチャンネルにアクセスできる可能性も極めて低くなります。しかし、このチャンネルを見逃すと、自社に影響する重要な脅威情報を得ることができなくなる恐れがあります。

しかし、ダークウェブを自動的かつ継続的にスキャンすれば、新しい情報源が出現したときに直ちに特定し、そのデータを脅威インテリジェンスデータベースにすぐに取り込むことができます。この手法であれば、そのフォーラムやチャンネルへのリンクや招待が消えた場合も、その情報源を引き続き追跡し、密かに実行される活動を監視できます。

2.データサイエンティストのように考えて行動する

ダークウェブスキャンを自動化すると、大量のデータが返されることになります。これらの膨大なデータを効率的に処理し、関連性の高い情報だけを確実に特定するには、データサイエンティストのようなアプローチが必要となります。例えば、機械学習を活用して、データを構造化してタグ付けし、脅威インテリジェンスのデータベースやデータレイクにデータを保存し、クエリを実行できるようにします。

データサイエンスで利用される手法は、ダークウェブのデータ収集を困難する障壁を解消するためにも役立ちます。例えば、データスクレイピング戦略を採用することで、CAPTCHA やボットをブロックする機能を回避できる可能性があります。

以上は、ダークウェブスキャンで特定されるデータではなく、一般のビジネスデータの管理で最もよく利用されるベストプラクティスです。しかし、ダークウェブのデータはスプロール化し構造化されていないため、そのデータの意味を理解するために、第一線のビジネスインテリジェンスやデータサイエンスのチームが利用するような高度なデータ分析や管理のテクニックを採用することが、唯一の有効な方法です。

3.関連性の高いデータを特定する

すべての脅威インテリジェンスデータをデータレイクに収集しても、データレイクに存在する関連性の高い実用的な情報を特定する効率的な手段がなければ意味がありません。そのために、すべてのデータに対してカスタムクエリを実行し、実際に関連性の高いデータを特定する必要があります。

例えば、ある脅威アクターが Telegram のグループで、あなたの会社のエンドポイントに関連する IP アドレスに重大な脆弱性を見つけたと発表したり、あなたの会社のドメインに関連するメールアドレスおよびユーザー名と一緒に認証情報を販売していることを宣伝したりする場合があります。このような脅威を特定するには、脅威インテリジェンスのデータレイクを解析して、この例の場合であれば、あなたの会社にリンクしている IP アドレスやドメイン名などのデータを検索するクエリを記述する必要があります。

4.データソースを包括的に分析する

脅威アクターは多くの場合、さまざまなプラットフォームを利用しており、プラットフォーム間を常に移動しながら、脅威情報を共有したり脆弱性について対話したりしています。そのため、脅威インテリジェンスをスキャンする範囲を、ダークウェブの深部や脅威アクターが活動する同様のプラットフォームにまで拡大することが重要です。

脅威インテリジェンスのスキャンに関連するすべてのデータソースをここで列挙することはできませんが、少なくとも以下のすべてのプラットフォームがスキャンの対象に含まれていることを確認する必要があります。

Telegram – プライバシーが保護されているため、脅威アクターはこのプラットフォームを利用して、脆弱性について対話したり、攻撃に役立つ情報を共有したりしています。

Discord – これも、脅威アクターが情報交換に利用することが多いプラットフォームです。

ランサムウェアグループの Onion サイト -多くの場合、脅威や被害者のリストがここでホスティングされます。

ウェブサイトや SNS のセキュリティフィード – セキュリティ侵害やその試行に関するリアルタイムの知見を得ることができます。

GitHub などのコードリポジトリ – これらのリポジトリでは、企業が専有しているソースコードが偶発的に公開される場合があります。また、悪意のコードやエクスプロイトがホスティングされることや、脆弱性についての議論が含まれる場合もあります。

ディープウェブフォーラム – これらのフォーラムには一般ユーザーはアクセスできないため、脅威アクターはここでリスクについて話し合っています。

App Store – 脅威アクターは、有名な企業がブランドの公式アプリを偽装した、トロイの木馬化したアプリを掲載する可能性があります。

ダークウェブのフォーラムやサイト – 脅威アクターが匿名で密かに何かを投稿する場合があります。

5.人間もスキャンのプロセスに参加する

自動化されたダークウェブスキャンとデータ管理の手法は、大量の脅威インテリジェンスデータの収集と分析を成功させる鍵となります。しかし、分析を自動化しても常に誤差が発生するため、脅威インテリジェンスの評価に人間が加わることが不可欠です。

自動化された分析プロセスで特定された脅威を人間が確認し、誤検知と実際のリスクを切り分けることで、データの信用度が高まります。自動化された脅威アラートの信用度が高くない場合は、特に人間による確認が重要になります。アラートの優先度を判断することで、重大な脅威を解決することなくリスクの低い脅威に対応を集中してしまう状況を回避するためにも、人が重要な役割を果たします。

脅威の調査と修復の段階でも、コンテキストをアラートに追加して対応を調整する活動、つまりレポート作成以外のさまざまな作業にも人間が加わる必要があります。ダークウェブを監視するツールによって脅威を特定した後も、アナリストと連携して、脅威と自社の要件に合わせてカスタマイズしながら、サイバーセキュリティの分析、評価、解析を行い、詳細なレポートを作成する必要があります。

これにより、あくまでも人間が主導し、戦略、ポリシー、長期的な意思決定のための基盤となる、戦略的な脅威インテリジェンスとセキュリティアドバイザリレポートを作成できます。特定の脅威アクターやグループの活動の場所、標的となっている国や地域、攻撃で使用されることが多いツール、活動のタイプなどの詳細を適切に把握するためにも、人間が重要な役割を果たします。

6.脅威インテリジェンスデータを統合し、コンテキスト化する

ダークウェブスキャンは、サイバーセキュリティ対策で利用できる最新のツールですが、あくまでもその 1 つに過ぎません。次のようなツールも合わせて利用する必要があります。

SIEM や SOAR のプラットフォーム – 脅威インテリジェンスデータを取得および分析し、他の重要な情報と相関できます。

チケット管理システム – 脅威レスポンス活動の管理が容易になります。

XDR (Extended Detection and Response) ツール ‐ 脅威の特定と修復の活動の自動化に役立ちます。

これらのソリューションを最大限に活用するために重要なのは、ダークウェブスキャンツールを、脅威を分析してコンテキスト化するツールと連携させることです。IDC は、「脅威インテリジェンスフィードは進化し続けることから、一貫性ある相互参照の機能が必要」と指摘しています。これは、関連性の高いすべての情報をまとめて取得するツールを使用してデータを分析し、脅威インテリジェンスデータの他にもアプリケーションやサーバーのログにある不審な活動など、脅威の特定に役立つ情報ソースを相関してコンテキスト化することで、初めて可能になります。

7.脅威インテリジェンスをサプライヤーにまで拡大する

ダークウェブスキャンと脅威インテリジェンスについては、自社1社のみで完結するわけではありません。多くの企業が、複雑なサプライチェーンを利用してデジタルオペレーションを推進しており、多くの場合にサプライヤーと協力して脅威に対応し、発生源で脅威を軽減しなければなりません。

そのためには、ダークウェブの脅威インテリジェンスとサプライチェーンのインテリジェンスを組み合わせ、脅威に先行することが極めて重要です。ビジネスで使用するサードパーティーのソフトウェアやサービスに影響する脅威を特定できれば、サプライヤーと効率的に協力して、サードパーティー製品の脆弱性を軽減し、サードパーティーだけでなく、自社のビジネスも保護できるようになります。

ダークウェブスキャンサービスの活用を検討する

解析すべきデータが膨大であり、データソースも常に変化しており、ソースが消え去ることもある現状では、ダークウェブに潜む脅威を特定して対処するのは、容易ではありません。これらの課題に対して有効な方法は、自動化されたスキャナー、高度なデータ分析の手法、アナリストによる脅威分析、レポート作成などの多様で複雑なプロセスやツールを導入することです。

これらのソリューションを社内で管理できない場合、ダークウェブスキャンのサービスが役立ちます。Cyberint などのパートナーと協力することで、クラス最高のディープウェブおよびダークウェブのスキャンサービスを利用して、自社を標的にする脅威についてアラートを受け取ることができます。外部のサービスを利用する場合はもちろん、複雑で多様なダークウェブスキャンやデータ管理ソリューションの設定や管理が不要です。デモをリクエストして、詳細をぜひご確認ください。