図2の(4)に示した「エンタープライズ・ブランド・サーベイランス」は、冒頭で紹介した新サービス。顧客の風評被害にも対応できる調査サービスだ(図4)。
顧客自体の組織に関して脅威となる情報が一般公開されていないか、既に出回っていないかどうかをCTUのリサーチャーが調査する。「事前に顧客から漏れてはならないキーワードを聞き取り、パブリック情報(Open Source Inteligent)だけではなくて、アンダーグラウンド、例えばダークウェブも調べる。ブラックマーケットの情報もカバーする」(三科氏)。ここまでは技術的な観点に従った調査だ。
ビジネス的な観点も併せて調査できる。
具体的には図4の「2」にあるように、経営層が自社に対するビジネス的な脅威、風評被害がないのか把握できるようになる。「これが強みだ」(三科氏)。
風評被害を事前に調べるために工夫を凝らした(図5)。「従来のアセスメントやインシデント対応では通常、各種のログを検査して現状のスナップショットを調査する。過去から現状を知る形だ。エンタープライズ・ブランド・サーベイランスはより先を見たサービス。早め早めのアクションが取れるよう、予兆をつかむことができる」(三科氏)。
「例えば特定のサイバー攻撃グループがTwitter上やオペレーション何々といった形でフォーラム上に『30日後、このリストにある企業をDoS攻撃する』と掲載したとしよう。エンタープライズ・ブランドサーベイランスを使うと、このような情報を当社がキャッチアップして顧客に伝える。この情報があれば、顧客は事前に対策を打つことができる。ソーシャルメディア上にユーザー企業に対するどのような会話があるのかも調査する。例えば、ゲーム関連会社ならゲームサーバに対する(強い)運営批判があると、DoS攻撃が起こるだろう。「実際にこのような対応を取った事例がある」(三科氏)。経営層の個人情報が漏れていないか、調べることも可能だ。
高度な攻撃に対してエンタープライズ・ブランド・サーベイランスを用いて、リアルタイムに今後の動きを予見、顧客企業を保護する。まさに未来を見るサービスだ。
スレット・インテリジェンスのようなサービスが必要な理由として、同社は今も続く標的型攻撃の実例を挙げた。
「ダウンローダーとして働くあるマルウェアの挙動を長期間、監視している。日本企業を専門に狙うものだ。このマルウェアを呼び込んでしまうと、別の通信用マルウェアの侵入を許し、機密情報を盗み出されてしまう。盗み出した後も静かに活動を続ける(しつこさがある)」(SecureWorks Japanでカウンター・スレット・ユニット シニアセキュリティリサーチャーを務める中津留勇氏)。
このマルウェアがこれほど長い期間、さまざまな企業に対して攻撃を続けることができた理由は、「変化」にあるのだという。
「同じ攻撃グループが活動を続けているものの、これほど攻撃パターンが変わると既存の対策では防ぐことが難しい」(中津留氏)。
Copyright © ITmedia, Inc. All Rights Reserved.