APTには多層防御に加えインテリジェンス活用が有効、CrowdStrike社 CTO来日
米クラウドストライク社共同創業者兼 CTO ドミトリ・アルペロヴィッチ氏が来日し、マクニカネットワークス株式会社が7月8日都内で開催したカンファレンス Macnica Networks DAY 2014 でサイバー攻撃者の特定に関する講演を行った。
研修・セミナー・カンファレンス
セミナー・イベント
アルペロヴィッチ氏は、McAfee社の脅威分析に従事し、さまざまなサイバーインシデントの分析を行い「Operation Aurora」「Night Dragon」「Shady RAT」などを担当した。
クラウドストライク社は、サイバー攻撃を行う国家や犯罪組織などに関するインテリジェンスを企業向けに提供するユニークなサービスを中核に、セキュリティ機器やインシデントレスポンスサービスなどを提供するセキュリティ企業。
講演でアルペロヴィッチ氏は、標的を定めず、場当たり的にサイバー攻撃をくり返し、幸運に見舞われた際に攻撃に成功する「オポチュニスティックアクター」に対しては、多層防御が有効であったものの、ここ5~6年の特定企業を狙って時間と資金を投下して行われるAPT攻撃に対しては決定的な対策手段とはなりえないため、インテリジェンスを活用し、攻撃者の顔と意図を理解して、これから来る攻撃を予測した対策を実施することが重要であると述べた。
クラウドストライク社では、こうした目的のもと、リソース言語やタイムゾーン、IPアドレス、コーディングスタイルなどのさまざまな攻撃者の足跡をもとにして、サイバー攻撃組織の特定と分析を行っており、その調査分析活動はグローバルにおよぶ。アルペロヴィッチ氏が「Operation Aurora」「Night Dragon」などの作戦名の名付けを行ったように、中国の攻撃組織にはパンダ、ロシアには熊、インドには虎、犯罪組織には蜘蛛、ハクティビストにはジャッカルなどの名称をつけて分類を行っているという。たとえばシリア電子軍をクラウドストライク社は「DEADEYE JACKAL」と呼称し知見を蓄積している。また、講演会場では、中国に本拠があり日本の政府機関を中心に攻撃を続ける攻撃組織のスライドなどが公開された(撮影禁止スライドのため掲載不可)。
アルペロヴィッチ氏は「攻撃活動が長期にわたると攻撃者が匿名であり続けることは難しい」と述べ、実際にクラウドストライク社が、C&Cサーバのドメインを起点に調査を開始し、写真共有サイトやブログなどを精査し、最終的に軍警察に勤務する攻撃者個人特定を行ったプロセスをスライドで公開した。
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
OWASP データブリーチ
幸いなことに、これらの履歴書の情報はほとんどの場合少なくとも 10 年前のものだが、それでも個人情報が多く含まれていることには変わりない。
-
悪夢の検証 大英図書館ランサムウェア ~ 過ちが語る普遍的な物語
大英図書館には多くの個性がある。独特の複雑な役割分担があり、それは法律で独自に規制されている。別の見方をすれば、ITインフラストラクチャは古くから確立されたコアサービスとの間でリソースを奪い合い、しばしば失敗するという点で、国やその他の大規模な組織の典型である。大英図書館の状況も、うまくいかないことの壮大な例にすぎない。
-
AI アプリ標的 ゼロクリックワーム開発/北 韓国半導体企業へ攻撃/米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]
興味深い研究発表として、イスラエル工科大学やコーネル工科大学などの研究者は、OpenAI の ChatGPT や Google の Gemini など、生成 AI を活用する AI アプリケーションを標的としたゼロクリックワーム「Morris II」を開発し、ユーザーの個人情報の窃取に成功したことを発表しました。