By Takuya 天気予報と防災
「明日の天気予報」を知ることは、今日の服装や持ち物を決める上で非常に役立ちます。雨が降るなら傘を、気温が下がるなら上着を準備しますよね。サイバーセキュリティの世界にも、これと同じような「天気予報」があります。それが「脅威インテリジェンス」です。これは、サイバー攻撃に関する最新の情報を…事前に知っとく😄👍
「天気予報」を見て、今日の備えをする。
☀️メグロキャノンボール前の天気予報は超重要😄👍
「明日の天気予報」を知ることは、今日の服装や持ち物を決める上で非常に役立ちます。雨が降るなら傘を、気温が下がるなら上着を準備しますよね?天気予報という「情報」を元に、私たちは日々の行動を決め、不測の事態に備えます。サイバーセキュリティの世界にも、これと同じような「天気予報」があります。それが「脅威インテリジェンス」です。
脅威インテリジェンスとは、サイバー攻撃に関する最新の情報、例えば、新しいウイルスの種類、攻撃者の手口(TTP)、そして彼らが狙っている業界やシステムなどの情報を収集・分析し、自社のセキュリティ対策に活かす活動のことです。これにより、「今、どんな攻撃が流行しているか?」「次に狙われるのはどんなシステムか?」といったことを事前に予測し、先回りして防御策を講じることができます。
単にファイアウォールやウイルス対策ソフトを導入するだけでなく、この「天気予報」を見ることで、より効果的で、賢いセキュリティ対策を立てられるようになるのです。
参考:CVE(ソフトウェアの脆弱性に付けられる共通のID番号を公開しているサイト)
参考:MITRE ATT&CK (攻撃観測に基づく敵対者の戦術・技術をまとめているサイト)
参考:JVN(日本で見つかったソフトウェアの脆弱性情報を公開するサイト)
【専門家向け:脅威インテリジェンスの活用とコマンド】
脅威インテリジェンスは、単なる情報収集に留まらず、それを具体的な防御策に落とし込むことが重要です。その活用プロセスは以下のようになります。
- 情報収集: 公的な機関(JPCERT/CC、CISAなど)、セキュリティベンダーのレポート、ダークウェブのフォーラムなど、多岐にわたる情報源からデータを収集します。これらの情報には、マルウェアのハッシュ値、悪意のあるIPアドレス、ドメイン名などが含まれます。
- 分析: 収集した情報を、自社のシステムや業界に関連付け、優先順位をつけます。VirusTotalのようなツールにマルウェアのハッシュ値を入力し、既知の脅威であるか、どのような振る舞いをするかを分析します。
- 対策への活用: 分析結果を元に、実際のセキュリティ対策に活かします。例えば、インテリジェンスで共有された悪意のあるIPアドレスを、ファイアウォールやIDS/IPSのブロックリストに追加します。
- sudo iptables -A INPUT -s -j DROPといったコマンドで、特定のIPアドレスからの通信を遮断します。
- ハンティング: 脅威インテリジェンスを元に、自社のネットワーク内にまだ検知されていない脅威の痕跡がないか、能動的に探す「脅威ハンティング」に活用します。例えば、「最近流行しているマルウェアは、特定のレジストリキーを変更する」という情報があれば、EDRツールを使ってそのレジストリキーの変更履歴を検索します。
脅威インテリジェンスは、セキュリティを「受け身」から「能動的」に変えるための、最も重要な要素の一つです。
