サイバー犯罪者の“計画”も兆候として活用、ダークウェブも分析するラックの「Threat Landscape Advisoryサービス」：これからはサイバー犯罪者のエコモデル自体に着目することが重要

ラックは2019年2月19日、早期警戒情報提供サービス「Threat Landscape Advisoryサービス」を2019年4月から開始すると発表した。「ダークウェブ」に流出している情報を、専門のアナリストが分析した結果を企業にレポートするという。

[宮田健，＠IT]

　ラックは2019年2月19日、レコーデッド・フューチャー・ジャパンが提供する「Recorded Future」を活用した早期警戒情報提供サービス「Threat Landscape Advisoryサービス」を2019年4月から開始すると発表した。同サービスはインターネットにおいて検索エンジンが到達できる「サーフェースウェブ」、到達できない「ディープウェブ」だけではなく、一般的な手法では見ることができない「ダークウェブ」と呼ばれるエリアに流出している情報を、専門のアナリストが分析した結果を企業にレポートするというもの。

　ラック 代表取締役社長の西本逸郎氏は、「これまで企業は入口対策、内部対策、出口対策といった部分に注力してきたが、攻撃者は行き当たりばったりではなく、PDCAを回し、計画的に準備して攻撃してくる。サイバー犯罪者のエコモデル自体に着目し、通常のWebブラウザでは到達できないダークウェブ上に存在する攻撃前後の情報を早期に発見し、攻撃の予防、防止に努める手法が重要である」と述べる。

これまでは単純に攻撃への対策にフォーカスしていたが、その前後では「攻撃準備」「成果の活用」といった動きがある。これらは通常のWebブラウザでは到達できないダークウェブ上で展開されていることが多い

　Recorded Future社は、1500以上のフォーラムや50以上のペーストサイト、そしてダークウェブ上に展開されている各種フォーラムやページを収集し、これら情報ソースを分析してリアルタイムに脅威情報を提供している。今回発表されたThreat Landscape Advisoryサービスでは、ラックのアナリストが、この脅威情報を活用して企業の潜在的な脅威やリスク、犯罪者の動向を把握し、被害を未然に防ぐことを目指している。

Recorded Futureが情報ソースとしている内容

　具体的には、例えば、あるサイトが情報漏えいを起こした場合、ディープウェブ／ダークウェブ上には特定の利用者がその漏えい情報をリクエストする場合がある。Threat Landscape Advisoryサービスでは、専門のアナリストが特定の情報（組織名、ドメイン、サービス名、IPアドレスレンジなど）を基に、これら資産に対する情報や攻撃の計画などを、Recorded Futureで収集された情報を基にモニタリングし、問題が発生した場合にアラートとしてレポートする。また、四半期に一度の間隔で、サービス契約組織と同一業種におけるインシデント発生状況などの定期レポートも提供する。

ディープウェブに情報が掲載された事例の一つ。特定のアクター（攻撃者）がフォーラムに登録した直後、流出した情報をリクエストしている様子が確認できる

特定の情報を検索しているアクターを把握できれば、そのアクターの行動を追いかけ、アラートを出すことも可能

Threat Landscape Advisoryサービスはアナリストが脅威情報を分析し、レポートという形で受け取ることで、被害を未然に防ぐことができる

　ラックは、Threat Landscape Advisoryサービスについて、1組織につき年間600万円〜（税別）での提供を予定している。また、同サービスで利用しているRecorded Futureを購入し、自社内で運用するプランも年間1500万円〜（税別）で用意する。