Overview
脅威インテリジェンス(Threat Intelligence)とは、サイバー脅威に関する情報を収集・分析・整理し、組織のセキュリティ意思決定に活用可能な知見として提供するプロセスおよびその成果物です。単なる脅威情報(Threat Data)の集合ではなく、コンテキスト(文脈)、分析、実用的な推奨事項を含むアクショナブル(行動可能)な情報であることが求められます。
脅威インテリジェンスは、戦略的インテリジェンス(経営層向けの脅威動向)、戦術的インテリジェンス(攻撃者のTTPs:戦術・技術・手順)、運用的インテリジェンス(進行中の攻撃に関する情報)、技術的インテリジェンス(IoC:侵害指標など具体的な技術データ)の4つのレベルに分類されます。各レベルが異なるステークホルダーのニーズに対応し、組織全体のセキュリティ態勢を強化します。
効果的な脅威インテリジェンスプログラムは、組織固有の脅威ランドスケープを理解し、業界特有のリスクや攻撃パターンを把握することから始まります。MITRE ATT&CKフレームワークやSTIX/TAXIIなどの標準規格を活用し、脅威情報の構造化と自動共有を実現することで、防御の先手を打つことが可能になります。
Details
脅威インテリジェンスの4つのレベル
戦略的インテリジェンスは、経営層やCISOを対象とした高レベルの脅威動向分析です。地政学的リスク、業界を標的とした攻撃トレンド、規制環境の変化などを分析し、セキュリティ投資の方向性やリスク管理戦略の策定に活用されます。非技術的な言語でレポートにまとめられ、経営判断をサポートします。
戦術的インテリジェンスは、攻撃者が使用するTTPs(Tactics, Techniques, and Procedures)に焦点を当てます。MITRE ATT&CKフレームワークに基づいて攻撃手法を体系化し、防御策の優先度付けや検知ルールの策定に活用されます。運用的インテリジェンスは、特定の攻撃キャンペーンやインシデントに関するリアルタイムの情報であり、迅速な対応判断を支援します。
脅威インテリジェンスのライフサイクル
脅威インテリジェンスは、方向付け(Direction)→ 収集(Collection)→ 処理(Processing)→ 分析(Analysis)→ 配布(Dissemination)→ フィードバック(Feedback)という6つのステップで構成されるライフサイクルで運用されます。まず組織のインテリジェンス要件(PIR:Priority Intelligence Requirements)を定義し、それに基づいて情報源と収集方法を決定します。
収集した生データは正規化・重複排除・エンリッチメント(付加情報の追加)を経て処理され、アナリストが分析を行います。分析結果は適切な形式でステークホルダーに配布され、フィードバックを基にプロセス全体を継続的に改善します。
情報源とOSINT
脅威インテリジェンスの情報源は多岐にわたります。OSINT(Open Source Intelligence)は、公開情報から収集されるインテリジェンスであり、セキュリティベンダーのブログ、脆弱性データベース(CVE/NVD)、ダークウェブ上の攻撃者フォーラム、マルウェアリポジトリ(VirusTotal等)などが含まれます。
有料の商用脅威インテリジェンスフィードは、ベンダー独自の調査・分析に基づく高品質な情報を提供します。また、業界特化型のISAC(Information Sharing and Analysis Center)を通じた情報共有や、政府機関からのアドバイザリ(CISA、JPCERT/CC等)も重要な情報源です。
MITRE ATT&CKフレームワーク
MITRE ATT&CKは、実際の攻撃事例に基づいて攻撃者の戦術・技術を体系化したナレッジベースです。初期アクセス(Initial Access)から目的達成(Impact)までの攻撃ライフサイクルを14の戦術(Tactics)と数百の技術(Techniques)で分類しています。
セキュリティチームはATT&CKを活用して、特定の脅威アクターのプロファイルと自組織の防御能力をマッピングし、検知・防御のギャップを特定できます。SIEMの検知ルールやSOCの分析手順をATT&CKの技術IDに紐づけることで、カバレッジの可視化と優先度付けが可能になります。
STIX/TAXIIによる脅威情報共有
STIX(Structured Threat Information eXpression)は、脅威情報を構造化された形式で表現するための標準規格です。攻撃パターン、マルウェア、脆弱性、IoC、攻撃者プロファイルなどをJSON形式で記述し、機械可読な形で共有できます。TAXII(Trusted Automated eXchange of Indicator Information)は、STIXデータを自動的に交換するためのトランスポートプロトコルです。
Security Measures
- 01インテリジェンス要件の明確な定義:組織固有の脅威ランドスケープに基づいて、PIR(Priority Intelligence Requirements)を定義してください。業界特有の脅威、地理的要因、技術スタック、過去のインシデント傾向を考慮し、収集すべき情報の優先度を明確にしましょう。
- 02複数の情報源からのインテリジェンス収集:商用フィード、OSINT、ISAC、政府機関のアドバイザリなど、複数の情報源を組み合わせてインテリジェンスを収集してください。単一ソースへの依存はカバレッジの偏りや情報の遅延を招く可能性があります。
- 03脅威インテリジェンスプラットフォーム(TIP)の導入:MISP、OpenCTI、商用TIPなどのプラットフォームを導入し、脅威情報の収集・正規化・分析・共有を一元的に管理してください。SIEMやSOARとの連携により、検知と対応の自動化を推進しましょう。
- 04MITRE ATT&CKとのマッピング:収集した脅威インテリジェンスをMITRE ATT&CKフレームワークにマッピングし、攻撃者のTTPsと自組織の防御能力のギャップを可視化してください。検知ルールの優先的な開発やセキュリティ投資の根拠として活用しましょう。
- 05IoC(侵害指標)の迅速な運用反映:収集したIoC(不審なIPアドレス、ドメイン、ファイルハッシュ等)を、ファイアウォール、IDS/IPS、EDR、プロキシなどのセキュリティ機器に迅速に反映してください。自動化されたフィード連携により、反映までの時間を最短化しましょう。
- 06インテリジェンスの品質評価と継続的改善:収集・分析したインテリジェンスの正確性、適時性、関連性を定期的に評価してください。誤検知率の追跡、インテリジェンスに基づく検知実績の分析を通じて、インテリジェンスプログラム全体の品質を継続的に向上させましょう。
Incidents
📋 APT10によるクラウドホッパー作戦(2016-2018年)
中国系APTグループ「APT10」が、マネージドサービスプロバイダ(MSP)を標的とした大規模なサイバースパイ活動「Operation Cloud Hopper」を展開しました。複数の脅威インテリジェンス企業と政府機関が連携して調査を行い、攻撃の全容を解明しました。
この事件では、脅威インテリジェンスの共有と連携が重要な役割を果たしました。PwCとBAE Systemsが共同で分析レポートを公開し、攻撃者のTTPs、使用ツール、インフラストラクチャの詳細を業界全体で共有することで、他の潜在的な被害組織の検知と防御に貢献しました。
📋 脅威インテリジェンス活用によるランサムウェア攻撃の未然防御
ある国内の金融機関が、脅威インテリジェンスフィードから特定のランサムウェアグループが金融業界を標的としたキャンペーンを準備しているという情報を入手しました。インテリジェンスチームが情報を分析し、攻撃者が利用する可能性の高いIoCと攻撃手法を特定しました。
事前に特定されたIoCをセキュリティ機器に反映し、攻撃手法に対応した検知ルールを強化した結果、実際に攻撃が開始された際に初期段階で検知・遮断することに成功しました。この事例は、プロアクティブな脅威インテリジェンスの活用が実効的な防御につながることを実証しました。
📋 Log4Shell脆弱性における脅威インテリジェンスの役割(2021年)
2021年12月に公開されたApache Log4jの脆弱性(Log4Shell、CVE-2021-44228)は、広範な影響を及ぼす重大な脆弱性でした。公開直後から世界中の攻撃者による悪用が開始され、脅威インテリジェンスコミュニティが迅速に対応しました。
各インテリジェンスベンダーやISACが、悪用を試みるIPアドレスリスト、検知ルール(YARA、Snort/Suricata)、影響を受けるソフトウェアの一覧を迅速に共有しました。CISA等の政府機関も緊急アドバイザリを発出し、官民連携による脅威インテリジェンスの即時共有が、被害の最小化に大きく貢献しました。