APTには多層防御に加えインテリジェンス活用が有効、CrowdStrike社 CTO来日
米クラウドストライク社共同創業者兼 CTO ドミトリ・アルペロヴィッチ氏が来日し、マクニカネットワークス株式会社が7月8日都内で開催したカンファレンス Macnica Networks DAY 2014 でサイバー攻撃者の特定に関する講演を行った。
研修・セミナー・カンファレンス
アルペロヴィッチ氏は、McAfee社の脅威分析に従事し、さまざまなサイバーインシデントの分析を行い「Operation Aurora」「Night Dragon」「Shady RAT」などを担当した。
クラウドストライク社は、サイバー攻撃を行う国家や犯罪組織などに関するインテリジェンスを企業向けに提供するユニークなサービスを中核に、セキュリティ機器やインシデントレスポンスサービスなどを提供するセキュリティ企業。
講演でアルペロヴィッチ氏は、標的を定めず、場当たり的にサイバー攻撃をくり返し、幸運に見舞われた際に攻撃に成功する「オポチュニスティックアクター」に対しては、多層防御が有効であったものの、ここ5~6年の特定企業を狙って時間と資金を投下して行われるAPT攻撃に対しては決定的な対策手段とはなりえないため、インテリジェンスを活用し、攻撃者の顔と意図を理解して、これから来る攻撃を予測した対策を実施することが重要であると述べた。
クラウドストライク社では、こうした目的のもと、リソース言語やタイムゾーン、IPアドレス、コーディングスタイルなどのさまざまな攻撃者の足跡をもとにして、サイバー攻撃組織の特定と分析を行っており、その調査分析活動はグローバルにおよぶ。アルペロヴィッチ氏が「Operation Aurora」「Night Dragon」などの作戦名の名付けを行ったように、中国の攻撃組織にはパンダ、ロシアには熊、インドには虎、犯罪組織には蜘蛛、ハクティビストにはジャッカルなどの名称をつけて分類を行っているという。たとえばシリア電子軍をクラウドストライク社は「DEADEYE JACKAL」と呼称し知見を蓄積している。また、講演会場では、中国に本拠があり日本の政府機関を中心に攻撃を続ける攻撃組織のスライドなどが公開された(撮影禁止スライドのため掲載不可)。
アルペロヴィッチ氏は「攻撃活動が長期にわたると攻撃者が匿名であり続けることは難しい」と述べ、実際にクラウドストライク社が、C&Cサーバのドメインを起点に調査を開始し、写真共有サイトやブログなどを精査し、最終的に軍警察に勤務する攻撃者個人特定を行ったプロセスをスライドで公開した。
関連リンク
編集部おすすめの記事
特集
マクニカネットワークス株式会社(Macnica Networks Corp.)
-
オンラインストレージの制限なしファイル共有、Webサイトスキャンサービス経由で情報漏えいに
株式会社マクニカ セキュリティ研究センターは8月31日、Webサ…
-
マクニカNW、台湾Team T5と共著「標的型攻撃の実態と対策アプローチ」公開
-
British Airwaysの被害事例も~「Webスキミング」のリアルな実態と対策「第2回フィッシング対策勉強会」資料公開
-
売上前年比130%の吉野家公式通販、不正防止サービス「Sift」導入
-
マクニカネットワークス、年度替わり・人事異動時期の「ID管理リスク」注意喚起
-
2021年1月中旬からEmotet活動再開、マクニカネットワークス報告
-
一体どうバランスを取るか? 高度なサイバー攻撃対策 & 日々のセキュリティ運用
-
SplunkとCrowdStrike Falcon Insight連携製品を独自開発(マクニカネットワークス)
CrowdStrike 事例と活動(クラウドストライク株式会社)
-
世界規模の障害発生 ~ CrowdStrike CEO ジョージ・カーツ 公式コメント
米CrowdStrike社 CEO ジョージ・カーツ氏は現地時間7月19日、…
-
Mandiant の IR サービスを Falcon から活用可、CrowdStrike と Google Cloud が戦略的提携拡大
-
セキュリティは愛か? 技術者が語る「レッドチーム演習でしかできないこと」
-
SBT、EDRのマネージドサービスにCrowdStrike Falcon追加
-
CrowdStrike Adversary Calender 2022 年 12 月
-
CrowdStrike Adversary Calender 2022 年 11 月「ラビリンス・チョリマ」
-
CrowdStrike「2022 年版Falcon OverWatch脅威ハンティング報告書」を公開
-
11/9 CrowdStrike CEO ジョージ・カーツ来日、楽天 福本氏 登壇 「サイバー攻撃者の世界 ワールドツアー」東京開催
脅威インテリジェンス/スレットインテリジェンス/Threat Intelligence
-
受け身ではなく先回り:CISO はサイバー脅威インテリジェンスをどう読むべきか
サイバー犯罪グループの活動はより大胆に、そしてより巧妙にな…
-
サイバー脅威インテリジェンスの未来 5つの傾向
-
ALSI が脅威インテリジェンス参入、2024年4月「InterSafe Threat Intelligence Platform」提供開始
-
組織がサイバー攻撃に備える5つの実践的ヒント
-
サイバーインテリジェンスに関する4大誤解と CISO が理解しておくべきポイント
-
企業管理職におくる「アンダーグラウンドのサイバー犯罪社会」入門書 ~「ダークウェブ」という用語が適さなくなった理由
-
サイバー犯罪インテリジェンス企業 KELA社が日本で初めてワークショップ開催、アナリスト池上遥氏 登壇(CPEクレジット付与)
-
JNSA 資料公開~「身代金支払」「インテリジェンスは合法か」セキュリティの法的議論 国際動向
研修・セミナー・カンファレンス アクセスランキング
-
ハッカーの OSINT 活用法 ~ 日本ハッカー協会 杉浦氏講演
-
FFRI 鵜飼裕司の Black Hat USA 2018 注目 Briefings(1)日本はグローバルセキュリティ業界のインナーサークルにいない
-
総務省 SBOM 対応ノスゝメ
-
企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第1回「インシデント対応ハンズオン2017」について語る
-
自動車サイバーセキュリティコンテスト「Automotive CTF Japan」新たに開催
-
安価で導入しやすい AWS や Azure の WAF、その一方でユーザーが抱える運用課題とは? ~ サイバーセキュリティクラウド